一 信息收集
步骤一:arp-scan -l
步骤二:开放端口探测 发现22 3128 8080端口 其中发现3128需要设置代理
nmap -sS -sV -A 192.168.147.129
二 web探测
步骤一: 使用nikto web扫描器进行扫描 nikto -h 192.168.147.129 -useproxy http://192.168.147.129:3128 发现其web端的php版本 目录下存在robots.txt 存在shellshock漏洞
步骤二:设置代理 进行访问
步骤三:访问得到的robots.txt文件 发现/wolfcms目录 尝试进行访问 发现为cms网站 搜索发现0.8.2版本存在文件上传漏洞 并发现其后台地址为/?/admin
三 web渗透
步骤一:访问后台地址
192.168.147.129/wolfcms/?/admin/login
步骤二:尝试弱口令登录 登陆成功
步骤三:发现上传文件点 生成msf木马上传并监听
http://192.168.147.129/wolfcms/public/shell.php
四 提权
步骤一:执行whoami发现为低权限 python -c 'import pty;pty.spawn("/bin/bash")' 调用交互式窗口
步骤二:查看发现存在config.php 文件 发现root账户和密码john@123
步骤三:尝试登录root失败
步骤四:登录数据库 但是权限不够 无法下载
步骤五:查看是否存在其他用户 发现用户sickos 尝试用刚才得到的密码登录 登陆成功
步骤六:查看其是否具有sudo权限 发现具有 直接提权
步骤七:拿取flag