本文描述了一次通过网络扫描、目录遍历、弱口令爆破和文件上传漏洞来获取靶机Root权限的过程。首先,使用Nmap扫描并识别靶机开放的服务,然后利用BurpSuite伪造登录请求,找到并利用弱口令进入后台。接着,通过上传恶意PHP文件并用蚁剑建立连接,找到SSH凭据。最后,使用sudo命令提权并解码获取flag。
实验主机:y0usef靶机一台/Kali linux攻击机一台
y0usef靶机 IP:192.168.3.245
Kali linux攻击机 IP:192.168.3.32
实验网络:桥接模式
实验目标:获取靶机的Root权限
一、环境部署
- 下载导入靶机,导入到virtual box里面
- 将靶机网络适配器改为桥接模式
- 启动靶机
二、信息收集
1. 使用nmap扫描同一个段下存活的IP
nmap 192.168.3.1/24 #192.168.3.245开放80端口,应该是我们所用的IP
2.使用nmap对靶机开放的端口进行更详细的扫描
nmap -A -sV -p- 192.168.3.245
4. 目录识别
dirsearch -u http://192.168.3.245/
通过目录扫描发现子目录:http://192.168.3.245/adminstration/
5. 访问http://192.168.3.245/adminstration/提示没有权限
6. 使用burp抓包看一下,加上X-Forwarded-For,伪造本地登录
7. 查看页面是一个弱口令,爆破一下。弱密码admin,admin,请求中要始终带有XFF字段,X-Forwarded-For:127.0.0.1,否则服务器又会认为客户端没有经过验证。登录成功,看到文件上传的点。(也是一直放包)
8. 成功登录
三、漏洞利用
1. 看到有upload选项,是一个上传页面,上传反弹shell的php文件,但是发现php文件和jsp文件都不行,png文件可以
2. 上传成功,连接蚁剑
http://192.168.3.245/adminstration/upload/files/1686794216test.php
3. 打开蚁剑的虚拟终端,在home目录下发现了第一个flag
4. 对编码进行base64解码,拿到了ssh远程登录的用户名和密码。
用户名:yousef 密码:yousef123
5. 前面也扫描到开放了ssh服务,直接进行登录。登录成功之后查看了各种可能藏flag的目录并未发现信息,查看root目录时提示说没有权限
ssh yousef@192.168.3.145
四、提权
1. sudo -l查看有哪些能用的提权命令,发现提权的命令都可以使用
2. sudo su进行提权查看flag
3. 解码
扫一扫
283
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
