一、主机发现
arp-scan -l
靶机ip为192.168.55.152
二、端口扫描、目录枚举、漏洞扫描、指纹识别
2.1端口扫描
nmap --min-rate 10000 -p- 192.168.55.152
发现靶机没有开放80端口,开放的是8080端口
UDP端口扫描
nmap -sU --min-rate 10000 -p- 192.168.55.152
靶机开放了137这一UDP端口
2.2目录枚举
dirb http://192.168.55.152:8080
我的kali访问不了该靶机网页,无法进行目录枚举
三、进入靶机网站寻找信息,拿到低权限账号密码
访问靶机网页寻找信息
发现是一个开发页面
提示我们去html_pages页面中寻找信息
拼接url进行访问
访问http://192.168.55.152:8080/development.html
查看一下网页源代码
发现了新的目录
继续进行访问
找到了靶机的一个用户名:Patrick
点击超链接继续访问
继续点击sitemap
继续查看“安全通知”超链接
这里给出了该网站的密码大多是弱口令,那么下一步就是找到登陆口进行爆破
点击退出登录找到了登陆口
尝试一下弱口令
发现页面报错
报错提示已弃用函数 ereg_replace()还给出了slogin_lib.inc.php文件。
浏览器搜索一下该文件是否存在漏洞
成功搜索到了漏洞https://www.exploit-db.com/exploits/7444
第一个漏洞是远程代码执行漏洞,第二个是文件包含漏洞
成功找到了账号密码
先进行解密,然后尝试登陆
admin, 3cb1d13bb83ffff2defe8d1443d3a0eb
intern, 12345678900987654321
patrick, P@ssw0rd25
qiu, qiu
只解密出来了三个,其中第三个最符合之前的密码特征,尝试登陆
结果不行,试试其它两个
intern用户可以成功登陆
四、提权
4.1lbash逃逸
此shell有限制
查看shell类型
这里使用lbash逃逸,获得一个不受限制的shell
echo os.system('/bin/bash')
成功拿到不受限制的shell
4.2靶机信息收集
查看这两个文件
看来密码还是没有更改
查找SUID权限的文件
find / -perm -4000 -print 2>/dev/null
试试切换为Patrick用户
密码为P@ssw0rd25(网站上破解的)
查看该用户具有的root权限
4.3vim提权
sudo vim -c ':!/bin/sh'
提权成功!
4.4nano提权
sudo nano
^R^X (CTRL+R CTRL+X)
reset; sh 1>&0 2>&0
提权成功!
解析)
)
创建型模式)
)
——进程(概念篇))
)
)
