sickos-12

声明：请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者和此公众号不为此承担任何责任。

首先启动靶场

使用nmap -sn 192.168.233.0/24扫c段发现了151这个段，证明靶场启动成功

第二步：使用nmap来扫描端口发现了两个端口一个80一个22    

第三步：22不用说是ssh暂时先不用看，我们直接看一下80端口是什么

直接是80端口没什么东西    

查看了一下源代码，什么都没有，把图片下载之后使用strings查看也没什么，也可能是我没看出来什么，那么都行不通，我们就扫一下目录吧

第四步：扫目录    

发现了一个test目录，访问一下看看

之后使用burp抓包我们看一下有没有什么新奇的发现

第五步：抓包    

抓包之后使用了OPTIONS的方法来查看，发现了有put的上传方法，看看能不能上传

上传了一个马，看看是否成功了

确实成功了，也能执行，接下来我们就上传一个msfconsole的木马来进行连接

生成一个反链的木马shell_msf.php,之后使用curl来进行上传

看到回显是200证明上传成功，去网页继续看一下    

这个php文件也确实存在，接下来我们进行连接此php

登陆msfconsole工具

之后设置一下payload    

然后再设置端口跟ip这里面的ip140是设置本机的ip，之后run跑起来

在跑的同时也要执行一下我们上传的文件

之后就可以做命令执行了    

之后使用shell来做交互，使用python中的tty来获得一个稳定的交互式链接

Python -c ‘import pty;pty.spawn(“/bin/bash”)’

在之后看了一下内核，也看了一下计划任务，在计划任务中找到了一个chkrootkit

在cd /etc/cron.daily这个文件下面，之后写了一个suduoers的命令

echo 'chmod 777 /etc/sudoers && echo "www-data ALL=NOPASSWD: ALL" >> /etc/sudoers && chmod 440 /etc/sudoers' > /tmp/update

之后再给update加权限chmod +x /tmp/update

这就完成了看最后一步的提权了    

原文始发于微信公众号（攻防学堂）：sickos-12