Development靶机通关笔记

一、主机发现

arp-scan -l

靶机ip为192.168.55.152

二、端口扫描、目录枚举、漏洞扫描、指纹识别

2.1端口扫描

nmap --min-rate 10000 -p- 192.168.55.152

发现靶机没有开放80端口，开放的是8080端口

UDP端口扫描

nmap -sU --min-rate 10000 -p- 192.168.55.152

靶机开放了137这一UDP端口

2.2目录枚举

dirb http://192.168.55.152:8080

我的kali访问不了该靶机网页，无法进行目录枚举

三、进入靶机网站寻找信息，拿到低权限账号密码

访问靶机网页寻找信息

发现是一个开发页面

提示我们去html_pages页面中寻找信息

拼接url进行访问

访问http://192.168.55.152:8080/development.html

查看一下网页源代码

发现了新的目录

继续进行访问

找到了靶机的一个用户名：Patrick

点击超链接继续访问

继续点击sitemap

继续查看“安全通知”超链接

这里给出了该网站的密码大多是弱口令，那么下一步就是找到登陆口进行爆破

点击退出登录找到了登陆口

尝试一下弱口令

发现页面报错

报错提示已弃用函数 ereg_replace（）还给出了slogin_lib.inc.php文件。

浏览器搜索一下该文件是否存在漏洞

成功搜索到了漏洞https://www.exploit-db.com/exploits/7444

第一个漏洞是远程代码执行漏洞，第二个是文件包含漏洞

成功找到了账号密码

先进行解密，然后尝试登陆

admin, 3cb1d13bb83ffff2defe8d1443d3a0eb
intern, 12345678900987654321
patrick, P@ssw0rd25
qiu, qiu

只解密出来了三个，其中第三个最符合之前的密码特征，尝试登陆

结果不行，试试其它两个

intern用户可以成功登陆

四、提权

4.1lbash逃逸

此shell有限制

查看shell类型

这里使用lbash逃逸，获得一个不受限制的shell

echo os.system('/bin/bash')

成功拿到不受限制的shell

4.2靶机信息收集

查看这两个文件

看来密码还是没有更改

查找SUID权限的文件

find / -perm  -4000 -print 2>/dev/null

试试切换为Patrick用户

密码为P@ssw0rd25（网站上破解的）

查看该用户具有的root权限

4.3vim提权

sudo vim -c ':!/bin/sh'

提权成功！

4.4nano提权

sudo nano
^R^X      (CTRL+R CTRL+X)
reset; sh 1>&0 2>&0

提权成功！