下载靶机并且导入VMware
masscan扫描存活主机,发现目标靶机192.168.152.225,并且开启了80端口
masscan -p80 192.168.152.0/24 --rate=2000
访问靶机的80端口,查看原代码,没有什么发现,想办法找页面的文件目录
==Nmap -p- -sC -sV 192.168.152.225 --min-rate=2000 -vv ==
详细扫描IP,发现了一个文件robots.txt,访问一下。
访问robots.txt文件发现一个目录,和提示目录遍历一个zip文件。
访问一下这个目录,是一个登陆界面,需要用户名和密码。
使用dirb目录遍历,比较慢 ,所以我换了gobuster
dirb http://192.168.152.225 /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -X .zip -w
这里使用的是kali自带的字典
换成gobuster 目录遍历,找见了一个spammer.zip压缩文件,访问浏览器并且下载下来。
gobuster dir -u http://192.168.152.225 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x zip
对压缩文件解压需要密码
unzip spammer.zip
用fcrackzip爆破,得到密码。
fcrackzip -D -p rockyou.txt -u /tmp/spammer.zip
解压出creds文件
查看文件,里面是一个用户名和密码,猜测应该是登录界面的。
成功登录界面,并且发现了文件上传的漏洞,不限制文件类型
上传php反弹shell木马到服务器,在kali的/usr/share/webshell/目录下
正确的是上传php-reverse-shell.php,我这里先尝试了webshell.php发现不可以
kali开启端口监听,访问php脚本,成功getshell
nc -lvvp 端口号
查看内核版本,是linux3.2.0的
uname -a
Searchsploit linux 3.2.0 搜素该版本漏洞
找到几个可以使用的脏牛提权脚本,我用40839.c
把该脚本也上传到服务器上
查看目标靶机上被上传的文件
建立交互式shell
python -c ‘import pty; pty.spawn("/bin/bash")’
运行编译完的40839.c,得到和root权限一样高的用户名firefart
登录到firefart用户
ls查看文件列表,拿到flag