扫描端口,开了 80,22,rpc,dirb 扫描 80 发现如下:
以及 view.php 有本地文件蕴含:
拜访 dbadmin 目录下的 test_db.php,发现 phpLiteAdmin v1.9.3,网上搜寻默认明码为 admin,一试果然通过了。接着搜一下 exploit:
照着操作,先建一个数据库命名为 hack.php, 而后写一个一句话木马,而后文件蕴含过来,而后蚁剑一连:
这里有一个坑点,数据库里有俩用户明码都是错的,root 和 zico,害得老子节约在 cmd5 一块钱。
之后有两条路子,第一条是在蚁剑里翻翻文件,在 /home/zico/wordpress/wp-config.php 里发现了 zico 的真正明码:
ssh 登录之后,sudo - l 看一下:
能够利用 touch exploit
创立一个随机文件,并用 zip
命令进行压缩
sudo zip exploit.zip exploit -T --unzip-command="python -c'import pty; pty.spawn("/bin/sh")'"
-T 查看文件的完整性。这个参数能够让他执行下一个参数 –unzip-command,在这个参数中写入一个 python 的交互 shell
还有一个法子是脏牛提权,首先须要一个交互式的 shell,这里我反弹 shell 进去试了好多办法都失败,看网上教程是写一个文件让靶机去下载执行,这里我间接传个大马上去了。
而后去这里:https://github.com/FireFart/d…,下载脏牛传上去,编译执行:
切换账户就能够了:
倡议不要先用脏牛,因为会把 root 改掉,那样再进行 zip 提权就会有问题。