全网最详细的渗透测试靶机实操步骤——vulnhub靶机实战（四 ...

好吃的蜡笔

靶机地址: https://www.vulnhub.com/entry/venom-1,701/
难度：中级
发布日期：2021 年 5 月 24 日
作者：Ayush Bawariya & Avnish Kumar

下载好靶机后解压，然后用vm直接打开即可



先扫出靶机地址（靶机要用nat模式），然后nmap扫描靶机开启的端口





发现开启80，21，22，443，7070和8084端口，先访问一下80端口，看看web端有什么可以利用的信息





发现有一串加密的数字，用md5解密后得到hostinger，应该是用户名或者目录



用dirb扫了一下没有发现有用的目录，没关系，还记得靶机开启了21端口吗，我们可以尝试登录21端口的ftp



连接ftp，输入我们之前md5解密得到的值，发现果然是用户名，接下来我们爆破出ftp的密码即可



我们通过cewl来生成一份结合网站目标的社工性质的密码字典
命令：cewl http://192.168.0.149/ -w duya2.txt
然后用九头蛇爆破
命令：hydra -l hostinger -P duya2.txt -t 5 -vV -o ftp.txt -e ns 192.168.0.149 ftp





得到密码也为hostinger，直接登录



dir查看当前目录，发现files，cd切换到files目录，ls查看当前目录文件，发现hint.txt，get hint.txt将文件保存到本机





命令:open hint.txt打开文件



得到以下信息：
       Hey there...
T0D0 --

• You need to follow the 'hostinger' on WXpOU2FHSnRVbWhqYlZGblpHMXNibHBYTld4amJWVm5XVEpzZDJGSFZuaz0= also aHR0cHM6Ly9jcnlwdGlpLmNvbS9waXBlcy92aWdlbmVyZS1jaXBoZXI=
  
• some knowledge of cipher is required to decode the dora password..
  
• try on venom.box
  password -- L7f9l8@J#p%Ue+Q1234 -> deocode this you will get the administrator password
  

Have fun .. :)
解读一下发现
1.需要解码其中的 base64.
2.需要一些密码知识来解码 dora 的密码..
3.主机名是 venom.box，让我们尝试访问一下
4.解码 L7f9l8@J#p%Ue+Q1234 你会得到管理员密码
ok，现在根据得到信息一步步来操作即可，首先解码base64



连续三次解码得到的信息standard vigenere cipher，翻译过来意思是标准的维吉尼亚密码，另外一个base64得到网站https://cryptii.com/pipes/vigenere-cipher



得到一个密码E7r9t8@Q#h%Hy+M1234，现在去看第三条信息



本来访问到这个网站很简单，只需要在hosts文件加上venom.box再访问即可，但是我一直访问不通，找了一个多小时的资料才解决，是虚拟机网络连接和本机网络接受的问题，真的是有点欲哭无泪。但是，一定要Try harder！！！办法总比困难多，一定不要放弃





在下面的登录窗口用用户名dora和刚才解得的密码登录，并且根据这个登录窗口可以知道搭站框架为Subrion CMS v4.2.1



查一下Subrion CMS v4.2.1有没有漏洞历史漏洞



访问 https://github.com/intelliants/subrion/issues/801 ，发现.htaccess没有阻止phar 和 pht扩展名的文件执行，所以我们构建一个phar扩展名的php shell就可以上传成功并监听，并且上传路劲是 /uploads/[uploaded file]：



登录进去之后发现了可以文件上传的地方



接下来我们需要创建一个phar形式的shell，先创建一个shell.phar的php文件，然后使用一个一键生成shell的网站https://taoyuan.cool/shell/，把内容复制到新建的shell.phar文件然后上传，之后在攻击机上开启监听，再访问http://venom.box/uploads/shell.phar路径即可得到全程执行代码的权限





反弹shell知识点：这个靶机反弹shell的本质是我们通过文件上传漏洞上传了一个反弹shell的文件，然后我们在本地靶机开启监听，这样子在我们访问反弹shell文件的时候就会让目标靶机主动连接我们的kali攻击机IP和设置好的端口，你们可以去看一下复制的反弹shell的内容。这样子我们就可以会获得本地主机的执行环境，拥有所有权限，可以任意执行命令。
总结一下就是我们用攻击机监听在某个端口，被控端（靶机）主动发起连接请求到该端口，并将其命令行的输入、输出转到控制端（攻击机）的一种攻击方式。
其他的反弹shell知识点我会专门写一篇文章来说，一定要去看一下，这个很重要



接下来先升级一下交互shell，之前教过的命令：python -c 'import pty;pty.spawn("/bin/bash")'





在.htaccess文件里面找到了一个密码，用户名应该是nathan，直接登录上



成功登录之后命令：ls -la查看所有文件信息，在uesr.txt里面找到一个flag





查看一下用户有权访问的SUID二进制文件
命令：find / -perm -4000 -exec ls -al {} \; 2>/dev/null
ps：对命令有不懂的可以直接把这个命令复制到百度上，就可以找到解释这段命令的文章了
看到/usr/bin/find有root权限，可以尝试find提权。参考链接 https://www.cnblogs.com/zaqzzz/p/12075132.html#3git%E6%8F%90%E6%9D%83



命令：find . -exec /bin/bash -p \; -quit



成功提权，找到最后一个flag。

这个系列的靶机是2021年出来的，比较新的，里面有很多渗透测试相关的知识结合在一起，难度不低，值得好好钻研一下。今天的这台靶机结束，希望你们能从中学到东西，如果觉得还不错可以点个赞让我知道。我是渡鸦，每天更新一台vulnhub靶机，欢迎老爷们关注我一起提升技术，留言进入vulnhub渗透测试交流群一起进步。