信息收集
主机发现
端口扫描
目录爆破
命令解释:dirsearch:是运行的工具的名称。-u http://172.20.10.4:指定要执行目录枚举的目标 URL。确保包含http://前缀。-i 200:此选项指示dirsearch仅显示返回 HTTP 状态代码 的目录200,这通常表示该目录存在并且可以访问。补充:-e php,html:此选项指定在目录枚举期间要查找的文件扩展名。访问80端口,只能看出是Apache站点,没有别的
访问一下sitemap.xml
访问172.20.10.4/index.htnl,也没啥有用的,只有一张gif格式的动态图
查看页面源代码,发现隐藏的一个form表单,可以删除hidden='True',回车!
因为靶机是在Centos系统上,所以在输入框中输入ls,没有得到正常的回显
把from表单换成post请求
再次在 输入框中输入ls,成功有了 回显
查看cmd.php,在表单中输入cat cmd.php
发现后端确实是POST接受参数值
使用ssh远程连接 ssh [email protected] 密码:123456789blabla
如果ssh [email protected]连接时回应的是:Unable to negotiate with 172.20.10.4 port 22: no matching host key type found. Their offer: ssh-rsa,ssh-dss ,可以使用:
ssh -oHostKeyAlgorithms=+ssh-rsa isw0@172.20.10.4
命令解析:
ssh: SSH命令,用于远程登录到其他计算机。-o: 选项参数的前缀,用于指定一些特定的配置选项。HostKeyAlgorithms=+ssh-rsa: 这是一个指定主机密钥算法的配置选项。+ssh-rsa表示允许使用RSA算法进行主机认证。主机密钥是用于验证远程主机身份的一种机制。[email protected]: 用户名和目标主机的IP地址。isw0是用户名。
提权
连接成功后,sudo -l查看有哪些能以root身份执行的命令
去这个网站上找提权命令:https://gtfobins.github.io/
只能找到rpm命令字的提权方式
成功提权到root
原文始发于微信公众号(网络安全学习爱好者):Vulnhub靶机Infosec_Warrior1渗透
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论