先扫一下c段,看一下哪个才是靶机

image-20230409181402738

然后就随便猜一个,(或者关掉靶机,在重新扫一遍看哪个没了哪个就是靶机)

这里的话128是靶机

接下来就是扫端口了

image-20230409181552407

扫到了三个端口

80端口一看就是个网站,那么我们尝试一下看能不能直接无密码(或者弱密码)登录ssh

image-20230409181755763

尝试失败,那么我们就尝试一下去查看一下80端口

image-20230409181842624

发现是一个cms框架,版本是7.x,那么我们就可以去查看一下有没有这个框架的exp能直接来打

在msf中搜索一下

image-20230409182322318

发现有这个框架的exp 和aux(这个是判断是否存在漏洞)

那我们就直接使用直接使用这个exp来打这个网站了,用的是第二个

image-20230409183330747

设置靶机地址

set rhosts xxxxxxxxxx

image-20230409183407891

设置成功 (后面是yes的,前面的内容必须得写上)

image-20230409183548884

反弹shell成功 拿到了meterpreter

image-20230409183643295

读取flag1的时候给了一段话 就是config配置文件

image-20230409183738020

访问配置文件拿到关键数据

image-20230409183955691

image-20230409183912269

这里数据库登录报错,就不登陆了,直接进行提权拿最终的flag就行

image-20230409190252841

这里的话先尝试一下suid 这里话在htb里面做过,这里就不多说了

这里如果按顺序拿flag的话会提示用suid

这里话弄个交互shell好进行查询

1
python -c 'import pty;pty.spawn("/bin/bash")'\;

image-20230409190621996

image-20230409190655243

提权的话可以直接拿到最终的flag

于是就是进行suid提权

先查找一下谁具有s权限

image-20230409190830425

找到了个find命令可以使用

于是进行find提权

image-20230409191336590

1
2
find ./ -exec "/bin/sh" \;
find  在哪执行 -exec "代码执行" \