一.信息收集
命令:netdiscover -r 192.168.228.0/24
扫描端口
这里加个p参数扫描全端口,以免有什么偏门的端口漏掉了
访问80端口,index.html没啥有用信息,22端口,81端口需要认证,爆破弱口令也爆不出来
估计想要getshell只能从80端口入手了,可使用dirsearch目录爆破却没啥结果,纠结了好久
https://github.com/maurosoria/dirsearch
想了半天,突然意识到这是个国外的靶机,我带的字典是针对国内网站的目录的。可以拿kali自带的fuzz爆破工具ffuf,尝试下kali自带的网站目录字典去爆破,终于整出几个之前没爆破出来的文件。
二.渗透测试
先访问graffiti.php,发现消息框发送的数据可以直接回显到页面,直接插个一句话康康!!!(就是这么简单粗暴)
额....好吧,本来也不指望这么简单
再访问graffiti.txt康康,欸,刚刚插的一句话怎么跑这里来了,难不成不是直接回显,只是写到graffiti.txt里然后再由graffiti.php输出?
遇事不决,抓包康康。还真是往graffiti.txt发数据,那要是改成graffiti.php不就可以插一句话了?想想还有点小激动。果断改成graffiti.php
还是没插进去,但是graffiti.php的代码却直接显示出来了,等等!怎么打开文件的方式是a+!那还用插一句话?!直接写入一句话木马文件啊!
成功写入一句话木马
打靶不易,菜鸡叹气。又得提权
三.后渗透提权
考虑到后期的提权,webshell有点不够用了,有个交互式shell比较好。发现靶机上莫得python,但有perl,可以,上传脚本到tmp目录,反弹个shell。
http://pentestmonkey.net/tools/perl-reverse-shell/perl-reverse-shell-1.0.tar.gz
再上传个提权辅助脚本跑跑,看看靶机上有啥子提权漏洞可以利用一下。芜湖?!有脏管,起飞!
https://github.com/Realradioactive/archive-linux-exploit-suggester-master
去网上下个脏管的自动化利用脚本,一跑直接root,打靶结束。
https://codeload.github.com/r1is/CVE-2022-0847/zip/refs/heads/main