扫描端口,开了80,22,rpc,dirb扫描80发现如下:
以及view.php有本地文件包含:
访问dbadmin目录下的test_db.php,发现phpLiteAdmin v1.9.3,网上搜索默认密码为admin,一试果然通过了。接着搜一下exploit:
照着操作,先建一个数据库命名为hack.php,然后写一个一句话木马,然后文件包含过去,然后蚁剑一连:
这里有一个坑点,数据库里有俩用户密码都是错的,root和zico,害得老子浪费在cmd5一块钱。
之后有两条路子,第一条是在蚁剑里翻翻文件,在/home/zico/wordpress/wp-config.php里发现了zico的真正密码:
ssh登录之后,sudo -l看一下:
可以利用touch exploit创建一个随机文件,并用zip命令进行压缩
sudo zip exploit.zip exploit -T --unzip-command="python -c 'import pty; pty.spawn("/bin/sh")'"-T 检查文件的完整性。这个参数可以让他执行下一个参数 –unzip-command,在这个参数中写入一个python的交互shell
还有一个法子是脏牛提权,首先需要一个交互式的shell,这里我反弹shell出来试了好多方法都失败,看网上教程是写一个文件让靶机去下载执行,这里我直接传个大马上去了。
然后去这里:https://github.com/FireFart/d...,下载脏牛传上去,编译执行:
切换账户就可以了:
建议不要先用脏牛,因为会把root改掉,那样再进行zip提权就会有问题。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。