環境搭建
kali(攻擊機,NAT):192.168.96.4
靶機(linux,NAT):ip未知
資訊收集
主機探測
netdiscover -i 監聽網路卡
發現96網段存活主機,猜測是96.5為靶機地址
埠掃描
nmap -sS -v 192.168.96.5(高校快速的掃描,TCP半連結掃描)
nmap -A 192.168.96.5(全面掃描,更全面)
fscan既可以掃埠又可以掃漏洞,同時還可以對埠服務進行爆破
22埠是ssh服務,一般是爆破,80是http,也就是web服務,我們先從80埠下手
訪問http://192.168.96.5/flag/
拿到第一個flag
掃描敏感目錄
whatweb檢視web環境
敏感目錄分析
/flag前文已拿到flag
/assets/資原始檔目錄
/admin_area/
在網頁原始碼中洩露了資訊,admin/3v1l_H@ck3r
/robots.txt
漏洞利用
之前掃描的資訊得知
存在登入介面login.php,訪問並使用之前的使用者賬號密碼登入
登入後是一個檔案上傳的介面,猜測存在檔案上傳漏洞
直接上傳一句話木馬
尋找檔案路徑,之前nmap掃出檔案路徑/uploaded_files,猜測即為網站上傳的檔案存放處
驗證,成功執行自定義函式
網站根目錄
PHP禁用函式
上線蟻劍
在web目錄下找到hint.txt,其實之前如果想到訪問hint.txt,也可以直接訪問,只是網站掃描工具沒掃出來
找到第三個flag,並且提示尋找technawi使用者的密碼去讀取flag.txt
直接開啟flag顯示為空
應該是使用者的限制,畢竟我們拿到的shell只是www-data使用者
從網站目錄的掃描結果看flag.txt也是403
此時我們需要找到testnawi使用者的密碼來遠端登入主機,得到flag.txt的許可權
現在需要尋找隱藏檔案來得到該使用者的密碼
find / -user 'technawi'
過濾所有錯誤資訊find / -user 'technawi' 2>/dev/null
找出根目錄下屬於technawi使用者的檔案並過濾錯誤資訊
發現一個特別一點的檔案,檢視該檔案的許可權
發現其他使用者也可以讀取該使用者的檔案,而要得到的flag.txt的許可權限制了其他使用者讀取
檢視該檔案,得到flag4
拿到了technawi使用者的密碼,登入
至此flag全部獲取
提權
sudo su root
知識點總結
1、資訊收集(主機存活發現、埠掃描、web服務探測、網站敏感目錄掃描)
2、檔案上傳(PHP一句話木馬、蟻劍上線)
3、linux檔案許可權
4、sudo提權
參考文章
https://blog.csdn.net/Eastmount/article/details/105423490?ops_request_misc=%257B%2522request