文章目录
一、主机发现
使用nmap进行常规的主机存活发现,还有端口扫描
nmap 192.168.216.0/24
nmap -A -T4 -p- 192.168.216.154
(实战中不建议用T4,很容易被发现)
二、漏洞发现
访问80端口
发现是一个qdPM的cms框架。
目录扫描
对网站扫描完了之后,就没有发现思路继续渗透下去,直接丢awvs上面开扫了(awvs yyds!!!)
扫到有很多的xss漏洞,最重要的是扫到了一个敏感文件泄露。
这里发现了一个敏感文件泄露,上去查看。
发现上面泄露了数据库的账号和密码qdpmadmin:UcVQCMQk2STVeS6J
果断连接上数据库,在数据库上面进行信息收集
在查看了数据库后,发现上面记录了用户名和密码,但是密码使用了base64加密,我们将账号和密码保存下来做成字典,结合ssh进行爆破。
注意:第一次爆破时失败了,在网上查看了wp后发现用户名是小写
爆出用户名和密码
travis:DJceVy98W28Y7wLg
dexter:7ZwV4qtg42cmUXGX
分别连接上用户
ssh travis@192.168.216.154
ssh dexter@192.168.216.154
拿到第一个flag!!!
三、权限提升
第二个用户这里有一段提示,意思要我们找可suid提权的二进制文件。
发现一个奇怪文件/opt/get_access,用strings命令查看这个二进制文件(strings命令是将二进制文件中输出可以打印字符串)
在二进制文件中有一个重要的命令cat,既然这个二进制文件可以root运行,那么这个cat命令也可以root运行,所以选择cat命令进行SUID提权。
echo "/bin/bash" > /tmp/cat #在tmp目录下创建一个cat文件,写入/bin/bash命令
chmod u+x /tmp/cat #对cat文件添加可执行权限
export PATH=/tmp:$PATH #将cat文件添加到环境变量中,以至于在其他路径也能执行
echo $PATH
执行get_access文件
得到root权限
这里只能使用more进行查看,因为cat在前面已经用来进行SUID提权了,相当于cat=bash
拿到最后一个flag!!!完结
总结
数据库
strings命令
SUID提权