信息收集
IP扫描
首先进行主机扫描,这里处于同一局域网内,可使用arp嗅探
arp-scan -l
端口扫描
查看服务器开放的端口服务
nmap -O 192.168.10.15
bp爆破
登录网页查看,尝试了万能密码,失败且没有回显,继续尝试密码爆破
提示admin登录系统,对密码单独爆破
密码登录,尝试抓包修改command
修改后发现是一个权限较低的www-data用户
提权
反弹shell
上传反弹shell连接kali
nc -lvnp 1234
优化中段显示
python -c "import pty;pty.spawn('/bin/bash')"
进入home目录下查看用户,挨个查看目录发现可疑文件
查看可疑文件发现是旧密码备份
保存准备爆破
hydra -l jim -P old-passwords.txt ssh://192.168.10.15
得到密码jibril04,使用密码连接后发现目录下有一个邮件
发现这封邮件没有用,尝试寻找其他邮件
在其他邮件中发现了charles的密码^xHhA&hvim0y
查看发现jim没有权限,切换到charles查看
查看teehee的help文档,发现teehee能将标准输入复制到每个FILE和标准输出
用teehee添加一个无密码root组用户
echo "longlongzzz::0:0:::/bin/sh" | sudo teehee -a /etc/passwd
切换用户得到root权限
这里要在反弹shell窗口中切换,ssh连接窗口会提示输入密码切换失败。