一、主機發現

arp-scan?-l

靶機ip為192.168.55.152

二、端口掃描、目錄枚舉、漏洞掃描、指紋識別

2.1端口掃描

nmap?--min-rate?10000?-p-?192.168.55.152

發現靶機沒有開放80端口，開放的是8080端口

UDP端口掃描

nmap?-sU?--min-rate?10000?-p-?192.168.55.152

靶機開放了137這一UDP端口

2.2目錄枚舉

dirb?http://192.168.55.152:8080

我的kali訪問不了該靶機網頁，無法進行目錄枚舉

三、進入靶機網站尋找信息，拿到低權限賬號密碼

訪問靶機網頁尋找信息

發現是一個開發頁面

提示我們去html_pages頁面中尋找信息

拼接url進行訪問

訪問http://192.168.55.152:8080/development.html

查看一下網頁源代碼

發現了新的目錄

繼續進行訪問

找到了靶機的一個用戶名：Patrick

點擊超鏈接繼續訪問

繼續點擊sitemap

繼續查看“安全通知”超鏈接

這里給出了該網站的密碼大多是弱口令，那么下一步就是找到登陸口進行爆破

點擊退出登錄找到了登陸口

嘗試一下弱口令

發現頁面報錯

報錯提示已棄用函數 ereg_replace（）還給出了slogin_lib.inc.php文件。

瀏覽器搜索一下該文件是否存在漏洞

成功搜索到了漏洞https://www.exploit-db.com/exploits/7444

第一個漏洞是遠程代碼執行漏洞，第二個是文件包含漏洞

成功找到了賬號密碼

先進行解密，然后嘗試登陸

admin,?3cb1d13bb83ffff2defe8d1443d3a0eb
intern,?12345678900987654321
patrick,?P@ssw0rd25
qiu,?qiu

只解密出來了三個，其中第三個最符合之前的密碼特征，嘗試登陸

結果不行，試試其它兩個

intern用戶可以成功登陸

四、提權

4.1lbash逃逸

此shell有限制

查看shell類型

這里使用lbash逃逸，獲得一個不受限制的shell

echo?os.system('/bin/bash')

成功拿到不受限制的shell

4.2靶機信息收集

查看這兩個文件

看來密碼還是沒有更改

查找SUID權限的文件

find?/?-perm??-4000?-print?2>/dev/null

試試切換為Patrick用戶

密碼為P@ssw0rd25（網站上破解的）

查看該用戶具有的root權限

4.3vim提權

sudo?vim?-c?':!/bin/sh'

提權成功！

4.4nano提權

sudo?nano
^R^X??????(CTRL+R?CTRL+X)
reset;?sh?1>&0?2>&0

提權成功！