通过文件包含,php://filter/convert.base64-encode协议加密传输下载文件,ssh key 登录shell,vim命令设置shell并跳至shell,Exim-4.84-3-本地提权,脏牛提权(dirty cow),udp69端口tftp文件下载,最后拿下靶机的一个练习过程过程。
渗透示例:
文件包含:
首先查看kali的IP地址,然后使用kali中的netdiscover扫描工具扫描出来靶机的IP地址。
netdiscover -r 192.168.207.0/24
之后用nmap扫描靶机开放端口,发现开放了22,80和3306
在浏览器中打开这两个端口,发现如下页面
在第三个标签页中发现神似文件包含漏洞的链接
进入
http://192.168.207.142/index.php?page=/etc/passwd
发现其中最后一句话说是用来备份的文件
所以我们直接打开这目录,
http://192.168.207.142/index.php?page=/usr/local/scripts/backup.sh
ssh key 登录shell
为了获取backup.tar文件,我使用了TFTP(临时文件传输协议)连接并下载了backup.tar文件:
tftpconnect 172.16.89.130get /backups/backup.tarReceived 1824718 bytes in 0.9 secondsquit
下载完之后进行解压,解压后得到文件夹:home和var,进入home/paul/keys
打开之后发现是ssh的秘钥,直接可以使用SSH连接paul这个用户
ssh -i id_key4 [email protected]
先change directory,创建一个shell.php的文件,之后找到kali里面的webshell文件,将这个文件进行编辑,并将IP地址和端口号替换为kali攻击机的地址端口
之后访问刚刚写入的http://192.168.207.142/index.php?page=../../../home/paul/shell.php
使用NC进行端口回弹拿shell
vim命令设置shell
进入/home/paul文件夹中,发现有这么一个编辑ssh菜单的文件.pdmenurc
之后进入ssh界面进行编辑该文件
在下图所示位置增加shell选项,编辑其代码
编辑完之后重新连接ssh之后,发现多出一个shell选项
脏牛提权(dirty cow)
进入之后发现是pluck用户的权限,我们使用脏牛漏洞进行提权,建立一个新文件dirty.c,并把代码写入。
https://www.exploit-db.com/exploits/40616
使用gcc对文件进行编译,之后对其进行运行,从而完成提权
最后进入root用户文件夹里面,直接可以查看flag
原文始发于微信公众号(北京路劲科技有限公司):pluck靶机介绍
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论