Kali ip:192.168.174.128
靶机ip:192.168.174.135
sudo arp-scan -l
nmap -p- -sV -A 192.168.174.135
发现开启了22端口和80端口
gobuster dir -u http://192.168.174.135/ -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt
这个地点有点问题,我用dirsearch进行扫描,字典比较全,扫描多出来几个文件
扫描到几个目录 查看一下config,发现数据库文件
发现是个空文档,什么都没有
Dashboard虽然返回200但是输出的信息是无法访问
进入login页面进行查看
既然有注册的地方,那就先去注册一下,中间白色的框是邮箱(这个颜色搭配真的费眼睛)
注册好了就进行登录,这里发现还存在一个id字段
尝试访问一下id=1的,不能访问
那就在id=2页面进行测试,这里有修改密码,抓包查看,这里尝试把id=1的用户的密码改为666,这里存在的问题是对用户的身份缺少验证。
应该是修改成功了,现在密码有了,然后我们尝试对账号进行爆破。
使用hydra进行破解
hydra -L /usr/share/seclists/Usernames/cirt-default-usernames.txt -p 666 192.168.174.135 http-post-form "/login.php:username=^USER^&password=^PASS^:username or password is incorrect"
这里对命令进行说明一下
-L后面加字典,这里是代表的账号
-p代表密码(小p是单独的一个密码)如果是大P则跟一个字典
192.168.174.135是代表ip
http-post-form表示破解是采用http的post方式提交的表单密码破解,双引号里面是目录:变量&变量:登录不成功时会出现的字段其中的变量必须按照上面的写:username=^USER^&password=^PASS^
破解出的密码是admin,使用admin进行登录查看
这里的id值变成了1
而且存在一个上传文件的地方
那就上传个木马进行反弹shell吧
上传php反弹shell的脚本,发现有后端验证,说只允许png,jpg,gif,看着像是白名单,但是上传后发现是个黑名单验证
上传的后缀改为phtml(也可以使用phar),我这里还修改了content-type为image/png
成功上传,且此处的file看着像个链接,鼠标右击file复制链接,然后进行访问
成功接收到shell
开启交互模式
SHELL=bash script -q /dev/null
我们在var/www目录下发现了数据库的信息,其中发现之前的admin密码,果然是强密码
使用find查找具有suid权限的命令,这里发现一个特殊的toto
find / -perm -u=s -type f 2>/dev/null
切换到home下发现两个用户,darkhole和john,其中john好像存在有用的信息
其中的toto是root权限的,且是可执行文件,执行一下看看结果
这里输出了id的信息
但是通过cat和strings都没有看到很多可用的信息
这里尝试替换id和修改环境变量进行提权
说明一下这几条命令
创建名为id的文件,将bash文件的位置写入id当中,然后使用export修改环境变量,优先加载tmp下的id文件,echo输出path查看是否修改成功
chmod赋予id可执行权限
这里切换到john目录,执行toto,发现成功切换到了john的用户下
切换到用户john下,那他的一些文件也就可以查看了
密码为root123
有了密码使用sudo -l查看当前用户的权限
发现python3,当前文件夹下又有file.py那就在file中写入内容,使用python进行提权
echo ‘import os;os.system(“/bin/bash”)’ > file.py
使用python3执行,这里的命令要和sudo -l中的一致不能修改的
切换目录,查看root文件,靶机成功结束