同样,从官网下载靶机,设置网卡为nat模式之后启动靶机,同时启动Kali使用nmap进行扫描,发现主机
排出过小过大以及本机地址即可得到靶机地址,得到靶机地址以后继续扫描靶机开启的服务及端口
主机开始22端口ssh服务,80端口http服务,使用浏览器访问靶机
成功访问,在搜集信息是发现url中出现参数,使用sqlmap扫描是否存在数据库
发现数据库,MySQL扫描数据库
发现两个数据库,继续扫描,查看数据表
发现数据表中存在users表,查看该表
成功得到两个账户及密码,将密码放入passwd.txt文档中,使用john 装库解密
只撞出john 的密码为turtle有了账户密码寻找登录界面
找到/user/login路径,访问该路径
成功找到登录界面,常识登录
成功登陆,继续搜集信息
在该路径下找到可以上传Php的上传框,准备上传nc 反弹链接脚本, 先在Kali开始nc 监听
上传之后,使用该页面发送邮件使脚本运行
发送之后等待链接即可
成功链接,输入python -c "import pty;pty.spawn('/bin/bash')"获得交互界面,开始查看该用户的文件已经可以以root身份执行的命令
找到exim4命令,查看该命令版本
靶机下载的版本为4.89,我们在kali中查找该该版本的提权脚本
启动本机Apache 2服务,并将脚本下载至www文件下
在脚本中加入set ff =unix指定编译方式
使用靶机将该脚本从本机下载至/tmp 目录下
执行该脚本即可完成提权
提权完成后,在root目录下找到flag