本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.24
nmap -p- --min-rate=1000 10.10.10.24
nmap -sC -sV -p 22,80 -oN haircut.nmap 10.10.10.24
nmap扫描结果
根据扫描出来的结果,访问下80端口
得到上没啥用的页面,只能wfuzz快速爆破下目录和文件
gobuster dir -u 10.10.10.24 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,html,txt -t 500
发现文件exposed.php 访问一下
按照上面的提示点击了下Go 访问了下
根据上面的页面显示有经验的话,就知道这是curl执行的结果显示,那么猜测目标靶机此功能是调用了curl,那么我们可以使用curl命令直接下载一个php反弹shell代码,然后访问此反弹shell代码,指定路径就按照默认路径尝试,况且上面也爆破出来了目录uploads ,使用burpsuite直接操作
然后访问上传的文件,本地kali监听端口,成功反弹shell
下载提权检查脚本,执行完成之后发现可以通过screen低版本进行提权操作
利用exploit编号41154.sh ;代码内容如下
这里有3部分,我刚开始直接丢到目标靶机上执行操作,发现执行失败了,所以在本地执行此脚本,然后将生成的文件传到目标靶机,再次执行此exploit的最后一部分,如果不行,执行手动执行/tmp目录下的rootshell文件即可提权成功
