靶机截图

收集信息

主机发现

打开靶机后，用kali探测靶机的 IP

arp-scan-l

可以用nmap进行同网段扫描探测存活ip

nmap -sP 10.4.7.0/24

端口扫描

命令过程

nmap -sT -sV -p- -O 10.4.7.220
-sT：TCP连接扫描
-sV：服务版本探测
-p-：全端口扫描
-O : 操作系统检测

端口详细与服务

端口

PORT	STATE	SERVICE	VERSION
22/tcp	open	ssh	OpenSSH 3.9p1 (protocol 1.99)
80/tcp	open	http	Apache httpd 2.0.52 ((CentOS))
111/tcp	open	rpcbind	2 (RPC #100000)
443/tcp	open	https	Apache httpd 2.0.52 ((CentOS))
627/tcp	open	status	1 (RPC #100024)
631/tcp	open	ipp	CUPS 1.1
3306/tcp	open	mysql	MySQL (unauthorized)

操作系统

Linux 2.6.9 - 2.6.30

目录扫描

用dirsearch和dirb都扫描下

访问目录

可以根据里面的内容打开看看，没啥有用的

渗透过程

访问80端口是个登录页

尝试弱口令打不开，可以试试万能密码，因为开头端口扫描时3306端口是打开的

进去后没啥提示

查看源码发现代码不完整被闭合了

编辑为html，将这段代码复制到这个地方把闭合去喽

去掉后根据这个提示ping下

可以确定这里存在命令执行

既然存在命令执行那么我们就可以用反弹shell

攻击机里开启监听

web端输入shell命令反向连接

反向连接成功

看下系统版本

uname -a

提权

当前用户是apache需要提权到root

查看可以提权的用户

cat /etc/passwd | grep /bin/bash

find /-perm -4000 -print 2>/dev/null

系统版本为Linux 2.6.9-55，我们可以查看下有没有这个版本的漏洞

searchsploit Linux 2.6.9-55

有很多，我们先进行筛选，注意这个单词意思为权限提升，筛选后还是很多，再根据版本进行筛选

本地提权试试这个

下载下来

查看用法

将1397.c传到靶机上进行编译

提示没有权限

那就从有权限的目录进行下载，查看后tmp合适

上传成功

进行编译

没有提权成功看来这个exp不行

试试内核版本，为4.5

跟上面同样操作

提权成功为root

没有flag

总结

1.万能密码

2.命令执行漏洞

3.exp利用