先扫c段发现靶机

image-20230430173241641

然后接着扫一下端口

image-20230430173357986

发现只有一个80端口

于是进行访问

image-20230430173451936

然后就先扫一下目录吧

image-20230430173723541

image-20230430173738876

发现给了一个路劲

然后进行访问

image-20230430173804181

这里的话爬虫协议也给了一个提示

别忘了加上,zip扩展到你的dir brute

然后在重新爆破一下目录,因为默认字典爆破不出来

1
dirsearch -u http://172.16.5.12/ -e php -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 100  

image-20230430174416125

扫到有个目录,然后进行访问

image-20230430174504992

发现下载下来了一个压缩包,但是访问得需要密码,那么我们就开始使用john进行爆破,就是得先把这个玩意转化成john能识别的样子

1
使用命令:zip2join spammer.zip  >  password.txt

image-20230430174655867

然后进行爆破

image-20230430174724243

爆破出来了

然后进行访问

image-20230430174828847

发现给了个类似账号密码的东西,然后就开始进行后台登录

image-20230430174928134

后台登录成功

这里就开始找漏洞利用点了

image-20230430175657042

这里的话可以进行恶意文件的上传,刚好可以进行shell的反弹

这里的话就使用php反弹,这里的话kali自带,直接修改使用就行了

image-20230430191641753

然后进去修改监听的ip和端口就行了

image-20230430191753036

然后开始监听端口

image-20230430191825803

然后就去找一下文件的上传地址

image-20230430191859356

image-20230430191917306

然后进行访问

image-20230430191939612

反弹成功

然后进行python交互

1
python -c 'import pty; pty.spawn("/bin/bash")'

image-20230430192021688

成功,然后就开始进行提权了

image-20230430213348387

内核版本>= 2.6.22 , 尝试脏牛提权

脏牛提权

image-20230430213803970

执行 searchsploit 40839 因为这个脏牛就是利用这个来进行提权

image-20230430214020860

image-20230430214107311

然后本地开启一个python服务,把文件传到靶机上

image-20230430214340317

成功传上去,然后进行gcc编译

1
gcc -pthread 40839.c -o 40839 -lcrypt

image-20230430214417629

然后给命令添加最高权限

chmod 777 40839

image-20230430214530349

image-20230430214743537

然后就是root用户了

image-20230430214806980

总结

内核版本>= 2.6.22 尝试脏牛提权

尝试破解加密文件可以考虑先转成john能识别的样子,然后在使用john来进行破解

s