[ 转]渗透测试实战-billu b0x2靶机入侵

billu b0x2靶机

老规矩 nmap 开路

通过探测可以看到该靶机一共开放了5个端口，我们还是把目光放在80端口上
访问如图：

看到底下 该网站使用了 “Drupal”框架搭建，前几个月该框架曝光过一个高危漏洞，根据这些靶机的惯用尿性，应该是存在该漏洞的。通过MSF来搜索该漏洞，如图：

发现有漏洞，调用模块输入ip和payload，如图：

成功拿下shell。。。。 如图：

下一步肯定就是提权了，我们也还是按照正常流程走，为了演示方便，小弟上传了一个webshell，并在/tmp 目录下 上传几个探测脚本，如图：

下面就比较简单，给权限运行脚本

可以看到该脚本探测给出了比较多的可能可以成功提权的漏洞编号，小弟试了一个脏牛，卡住了，没有提权成功。
下面小弟进行执行另外一个探测脚本，看看有没有什么突破口，如图：

通过上面几个探测脚本的探测结果，我们搜集了2处可以继续利用提权的地方，本次仅仅演示一种，另外一种希望留给各位大佬自己去实验测试。

1. /etc/passwd 文件可以写，其中 “indishell”用户权限较高
   
2. /opt/s 拥有root权限
   本次演示第二种提权方法, 使用 strings 查看 /opt/s ， 如图：
   发现其会 scp 命令 且为 root 权限，下面为只需要上传一个 恶意后门命名为 scp ，本次靶机测试 小弟就只需要拿到root shell 即可 所以scp文件只写入“/bin/bash”。如图：
3.  
4. tip：
5. 这里随便创建一个txt命名为scp即可，内容是/bin/bash
6. 然后按步骤来，就能拿到root
7.  
8. 
   下面是我们查看一下环境变量，命令：echo $PATH
   下一步就是把 我们刚刚上传 scp 文件的目录 “/tmp” 添加进变量，如图：
   通过上面的命令可以看到，已经把/tmp 目录添加进了变量，并且也给了权限给“scp”文件，下一步就是 切换到/opt/目录下，执行“./s” 如图：

可以看到 我们已经成功拿到root权限。

上面留的另外一个突破口和那些跑出来的可能可以提权的漏洞，留给各位小伙伴们自行线下测试！！！

 

结语

感谢各位大佬百忙之中的观看，祝您生活愉快，工作顺心，身体健康！！！
转载出处： https://www.anquanke.com/post/id/158937