目录
主机发现
端口扫描
开放端口较多,但是主要利用点还是80
web探测
一级目录下的东西也不少 主要可以去看一下sql files docs phpmyadmin这几个
sql:
这里得到一组账号密码 admin/adminpas
files:
几个png图片,没有什么用
这部分就很有趣了,一个是网站cms源码,另一个是phpinfo
这里可以进行简单的代码审计,其中index.php就是默认界面,然后通过actions这个参数来进行页面操作
以add为例,这是一个文件上传的功能点,通过这里可以轻松得到上传后的路径
同时在配置文件下也可以找到数据库的连接账号密码
不过这里登入以后并没有什么有价值的信息。
这里也可以在manual这发现apache的版本 尝试一些nday但没成功
回到首页,找到可以登陆的点
admin/adminpass
登录以后用action穿一个add_event参数即可
这里不知道为什么火狐登录一直是不成功的,我这里换成edge就行了。
没有上传限制,直接穿一个后门就行
这里建议直接传一个反弹shell后门
通过刚刚简单的代码审计,可以轻松的得到上传后的路径就是files这里。
建立监听即可
这里还不是交互shell,sudo -l尝试查看权限明显不行,利用python得到一个交互shell
这里我试了一下午,没有常见思路的提权suid,/etc/passwd和shadow,计划任务,密码文件。全无,所以只能选择去利用系统漏洞提权2.6.18,这里在经过尝试以后发现searchsploit里能用的不多udev算一个
这里用第一个就行
searchsploit -m linux/local/8478.sh脱下来就行然后利用wget下载到靶机,这里去tmp这个临时目录下就行
这里说要以脚本运行netlink socket这个参数进程的pid,通常这个pid就是udevd_pid -1,且运行时必须是unix的格式,如果一次不行多试几次。
这里没遇到过udevd_pid 那么试试在pid里直接找udevd
多试一两次就差不多了,注意如果好几次没成功那就dos2unix把文件转换一下,然后在另一个新的可执行文件夹下重新执行
总结
靶机整体难度属于简单,但是一个admin登录不成功和提权脚本选取浪费了我太多时间