kali:192.168.111.111
靶机:192.168.111.200
信息收集
端口扫描
nmap -A -v -sV -T5 -p- --script=http-enum 192.168.111.200
![](https://i-blog.csdnimg.cn/blog_migrate/846804b35f4eaabd544dfc9444c47c7a.png)
访问目标ftp得到提示:Security@hackNos
![](https://i-blog.csdnimg.cn/blog_migrate/642d058944c3668b129e23299e537a15.png)
访问http://192.168.111.200/5ecure/,提示需要登录,使用之前的得到的提示作为密码,用户为admin,可以登录
![](https://i-blog.csdnimg.cn/blog_migrate/08f3223f850deb2ff821f871f1ee58f0.png)
漏洞利用
使用管道符可以执行命令
![](https://i-blog.csdnimg.cn/blog_migrate/aacefa7f619087a30ae0922bd98d016d.png)
![](https://i-blog.csdnimg.cn/blog_migrate/c75b70a96a73c820333631a39fe3a0e9.png)
本地开启http服务,让目标下载php反弹shell
python3 -m http.server
![](https://i-blog.csdnimg.cn/blog_migrate/313cefedc3007a23ec5c8bead390ad14.png)
![](https://i-blog.csdnimg.cn/blog_migrate/6e2cb47fb1f88638b94bab6b8090f184.png)
![](https://i-blog.csdnimg.cn/blog_migrate/60faf7c990b88525c57c387c1bd5e35a.png)
提权
使用之前的道德密码切换到用户recon
su recon
![](https://i-blog.csdnimg.cn/blog_migrate/186c4324624d344f0283453471c9cf9f.png)
sudo权限
sudo -l
![](https://i-blog.csdnimg.cn/blog_migrate/ae85db1aca5c7e72b27c34b93732f1cb.png)
提升为root
sudo su
![](https://i-blog.csdnimg.cn/blog_migrate/23490e4a3e961e78e1c3ef5a745ba9d6.png)
获得flag
![](https://i-blog.csdnimg.cn/blog_migrate/478f98efa32002ef98e45f63ec06bfca.png)