靶機截圖

收集信息

主機發現

打開靶機后，用kali探測靶機的 IP

arp-scan-l

可以用nmap進行同網段掃描探測存活ip

nmap -sP 10.4.7.0/24

端口掃描

命令過程

nmap -sT -sV -p- -O 10.4.7.220
-sT：TCP連接掃描
-sV：服務版本探測
-p-：全端口掃描
-O : 操作系統檢測

端口詳細與服務

端口

PORT	STATE	SERVICE	VERSION
22/tcp	open	ssh	OpenSSH 3.9p1 (protocol 1.99)
80/tcp	open	http	Apache httpd 2.0.52 ((CentOS))
111/tcp	open	rpcbind	2 (RPC #100000)
443/tcp	open	https	Apache httpd 2.0.52 ((CentOS))
627/tcp	open	status	1 (RPC #100024)
631/tcp	open	ipp	CUPS 1.1
3306/tcp	open	mysql	MySQL (unauthorized)

操作系統

Linux 2.6.9 - 2.6.30

目錄掃描

用dirsearch和dirb都掃描下

訪問目錄

可以根據里面的內容打開看看，沒啥有用的

滲透過程

訪問80端口是個登錄頁

嘗試弱口令打不開，可以試試萬能密碼，因為開頭端口掃描時3306端口是打開的

進去后沒啥提示

查看源碼發現代碼不完整被閉合了

編輯為html，將這段代碼復制到這個地方把閉合去嘍

去掉后根據這個提示ping下

可以確定這里存在命令執行

既然存在命令執行那么我們就可以用反彈shell

攻擊機里開啟監聽

web端輸入shell命令反向連接

反向連接成功

看下系統版本

uname -a

提權

當前用戶是apache需要提權到root

查看可以提權的用戶

cat /etc/passwd | grep /bin/bash

find /-perm -4000 -print 2>/dev/null

系統版本為Linux 2.6.9-55，我們可以查看下有沒有這個版本的漏洞

searchsploit Linux 2.6.9-55

有很多，我們先進行篩選，注意這個單詞意思為權限提升，篩選后還是很多，再根據版本進行篩選

本地提權試試這個

下載下來

查看用法

將1397.c傳到靶機上進行編譯

提示沒有權限

那就從有權限的目錄進行下載，查看后tmp合適

上傳成功

進行編譯

沒有提權成功看來這個exp不行

試試內核版本，為4.5

跟上面同樣操作

提權成功為root

沒有flag

總結

1.萬能密碼

2.命令執行漏洞

3.exp利用