目录

一、主机发现

二、端口扫描

三、服务版本发现

四、信息收集

1.80 和 8082

2.目录爆破

五、突破边界

1.尝试利用mantis 的RCE漏洞

2.进阶目录爆破，大量信息收集

 3.Pre-Auth Remote Password Reset

 六、shell脚本提权

1.shell语法

2 .check-system

3. 写入反弹shell语句

4.重启触发

注意：尽量使用vmvare来部署靶机，并且网络模式选择NAT模式。

一、主机发现

二、端口扫描

三、服务版本发现

22 ssh

80 8082 都是开放了一个http服务但是是用了不同的web服务器软件。

四、信息收集

1.80 和 8082

都是开放了http服务，并且部署了相同的一个站点，一样的页面。源码中没有可用的信息。，

2.目录爆破

（1）adminer.php

 （2）info.php

知到了一些配置文件路径地址，网站环境等。

 （3）system

返回码401，访问站点需要登录，我们尝试了弱口令admin/admin成功进入

（4）返回数据包

在响应数据包中的这条就是用来验证身份的。

Authorization:Basic YWRtaW46YWRtaW4=

五、突破边界

1.尝试利用mantis 的RCE漏洞

cp到本地来，更改exp的rhost ，lhost，mantisloc ，加入验证头部，然后执行

nc -nvlp 4444

2.进阶目录爆破，大量信息收集

就是加上验证头部后进行爆破

dirsearch -u url --header="Authorization:Basic YWRtaW46YWRtaW4="

有很多新的路径。

（1）config

我们拿到了数据的账号密码，名字。结合之前adminer.php界面，尝试登录

 （2）登录后收集信息

在这里我们可以发现原有账号和我们注册的账号，在之前的注册中，我们并没有输入密码，所以推断处空的这一栏就是密码。去尝试ssh登录

（3）ssh登录

 3.Pre-Auth Remote Password Reset

是一个预授权远程密码修改的漏洞

这里也有介绍用法，就是这个远程密码修改是要hash验证的，但是我们修改为空，直接绕过了

登录到管理员用户状态下，我们也可以看到这个账号密码，然后通过ssh登录。

 六、shell脚本提权

1.shell语法

find / -user root -type f -perm -o=rw -ls 2>/dev/null | grep -v "/proc"

check-system不是系统自带命令，可以，去查看。

2 .check-system

启动时启动的程序由systemd ， 系统和服务管理器控制。 systemd是启动时运行的第一个进程。 它始终具有进程ID (PID)1。计算机中正在运行的所有其他进程都是由systemd启动的，或者由systemd已经启动的进程启动。结合上面的sudo权限，猜测可能与开机的启动有关

3. 写入反弹shell语句

4.重启触发