信息搜集
主机扫描
arp-scan -l 端口扫描
┌──(root㉿kali)-[~]
└─# nmap -sV -p- -Pn 192.168.1.130
Starting Nmap 7.94SVN ( https://nmap.org ) at 2024-08-22 07:45 EDT
Nmap scan report for 192.168.1.130
Host is up (0.00032s latency).
Not shown: 65533 closed tcp ports (reset)
PORT STATE SERVICE VERSION
80/tcp open http nginx 1.18.0
3306/tcp open mysql MySQL 5.5.5-10.5.11-MariaDB-1
MAC Address: 08:00:27:1B:81:03 (Oracle VirtualBox virtual NIC)
80 端口
我们进入80端口发现一个网站服务是 qdpm 9.2,于是查找是否有可利用漏洞
发现一个利用点,就是说在一个.yml文件中存在数据表用户及密码,于是我们访问并下载文件
3306端口
利用上述的用户名及密码,我们利用mysql登录
mysql -h 192.168.1.130 -P 3306 -u qpmadmin -p
登录后发现有个hidden数据库,发现url以及用户
通过提示,通过访问一个一个url来查找信息
wfuzz -u http://192.168.1.130/ -H "HOST: FUZZ" -w url.txt
发现有一个url返回内容长度不一样,访问一下(这是域名,需要访问/etc/hosts 文件添加域名)
获取shell
我们进入这个页面发现一页面,是一个远程shell,密码猜测数据库的或者刚才得user的数据库
结果是数据库密码,然后信息搜集一下
发现一个用户cocis,需要密码登录才能查看user.txt,想到之前数据库的user,发现密码是ihaveaflower
提权
通过老步骤提权
- sudo -l 没有密码
- 2. cat /etc/crontab 无重要信息
- find / -perm -u=s -type f 2>/dev/null 并没有重要文件
- /usr/sbin/getcap -r 2>/dev/null
- find / -writable 2>/dev/null
- uname -a
- 下载pspy64和linpeas.sh
在下载pspy64时发现一个定时文件,就是说当你访问这个网站的路径 /devel 时,就会触发以root权限执行tmp目录下的dev文件,那么我只需要在tmp目录下写个反弹shell的dev文件即可
利用nano编辑器,将反弹shell写入,kali监听成功提权,获取root的flag
知识点
- 漏洞的利用
- pspy64的利用
通过群主的视频发现可以有另一种办法,就是利用dirtypipe 2021的漏洞去提权,有点难懂,记录一下