信息收集
前1000个常用端口
全体端口
- 22 ssh OpenSSH 5.1p1
- 80 http Apache httpd 2.2.12
80端口的页面如下。
dirmap
gobuster
dirbuster
得出如下结果:
当前可访问
- http://10.10.10.6/index
- http://10.10.10.6/test
- http://10.10.10.6/torrent
- http://10.10.10.6/rename
当前不可访问
- http://10.10.10.6/cgi-bin/
http://10.10.10.6/test
phpinfo(),还可以从中收集信息。
http://10.10.10.6/rename
http://10.10.10.6/torrent
创建了一个用户来尝试文件上传功能。
搜索torrent hoster可以发现一篇文章。
文章如下。
在kali官网下载一个torrent文件上传。
上传后找到屏幕截图,当前是空的。
上传一个屏幕截图文件
OK,现在有两个上传的地方,一个是torrent文件,一个是屏幕快照。
在屏幕快照哪里上传webshell.php的时候抓包修改MIME。
刷新界面复制文件上传的连接。
webshell.php能够使用。
开机
不过在webshell里面尝试了几次反弹据失败告终,所以决定直接上传reshell。
提权
/var/www/torrent/目录里面有一个config.php文件。内容如下:
获得admin的hash。
在对hash进行爆破的同时继续收集信息。查找属于george的文件的时候发现了一个文件名motd.legal-displayed。
查看ubuntu版本正好符合。
就是这个运行,给我整不会了。
用bash又说39行有问题。
去看了39行。
我也没看出毛病啊
升级stty再来试试。
重新下载了文件试了试。
把所有~替换为/var/www在运行,又出现问题。
为什么会出现这么多问题,到底是什么地方导致这次问题,再次重新来过。
波浪号"~"
会被自动扩展成当前用户的家目录,在/bin/sh下并未进行扩展,而在/bin/bash下进行了扩展。那么波浪号"~"
进行扩展的条件什么?在bash中,如果只有一个波浪号~,比如cd ~,shell会将其扩展为$HOME
,如果$HOME
没设置会扩展为当前用户主目录。
再去看看sh的波浪号扩展。shell会将其扩展为$HOME
,如果$HOME
没设置就没有下一步操作了。
所以导致/bin/sh使用cd ~失败的原因可能是因为$HOME
并没有,而sh不会像bash一样会继续扩展为当前用户主目录。所以export导入$HOME
再次运行。
所以为什么又有问题了啊,大概率又是扩展问题。
暂时挖个坑在这,以后有时间再来看看为什么。