靶机地址:http://www.vulnhub.com/entry/vulncms-1,710/
扫描虚拟机网卡网段,获得靶机ip地址。
看看靶机开放的服务,这里详细说一下命令参数
-sS SYN扫描,又称为半开放扫描,它不打开一个完全的TCP连接,执行得很快,效率高
-sV 版本检测,用来扫描目标主机和端口上运行的软件的版本
-T5 T0-T2:串行扫描 T3-T5:并行扫描
-A 启用操作系统和版本检测,脚本扫描和路由跟踪功能
可以看到上面开放了四个web服务,分别是:单独的nginx、wordpress、Joomla和drupal
使用msf测试Joomla和drupal,Jopmla测试失败,但是使用drupal测试成功。
msf基本配置
这里出现了no session was created,机智的小编重新设置了kali的地址,将网卡也改为Host-Only模式。重新测试,发现成功。
使用python获得一个好看的shell
python3 -c 'import pty; pty.spawn("/bin/bash");'
查看home目录,发现我们需要重点关注的用户
查看文件/var/www/html/drupal/sites/default/settings.php
查看文件/var/www/html/joomla/configuration.php
查看文件/var/www/html/wordpress/public_html/wp-config.php
进入mysql数据库,查询以上显示的用户名是否记录了密码
发现elliot用户,密码为5T3e!_M0un7i@N
22端口开启了ssh服务,使用该服务登录
登录用户后,发现无法使用sudo命令,甚至无法进行目录切换操作,使用ftp获得正常的shell。
这里提供一个提权脚本linpeas.sh,相关项目在https://github.com/carlospolop/PEASS-ng,将该脚本放在/var/www/html下,启动kali上的web服务,用靶机的wget命令获取服务。
执行脚本,由于文件从windows传到linux,需要执行以下命令,同时需要将结果输出到文件
sed -i -e 's/\r$//' linpeas.sh
./linpeas.sh > test.txt
发现另一个用户的密码
登录后发现可以进行提权操作了
成功拿到root权限