Socket
Socket 是一台中等难度的 Linux 机器,其特点是反转 Linux/Windows 桌面应用程序以获取其源代码,从那里发现其 Web 套接字服务中的“SQL”注入。转储数据库会显示一个哈希值,一旦破解,就会产生对该框的“SSH”访问。最后,可以使用提升的权限运行的“PyInstaller”脚本用于读取“root”用户的私钥“SSH”密钥,从而实现对计算机的“root”访问。
外部信息收集
端口扫描
循例nmap
Web枚举
下面可以下载它的应用程序
strings可以判断它应该是python打包的
pyinstxtractor
随便找了个在线工具将pyc转明文
wscat连接5789
Foothold
测一下可以看到存在sql注入,常规操作
查表
查列
读数据,得到admin的密码hash
CrackStation
但是没用户名,用hydra做ssh密码喷射太慢了,从answers表中得到名字,在linux下用最常见的姓和名组合尝试登ssh
本地权限提升
sudo -l
...
if [[ $action == 'build' ]]; then
if [[ $ext == 'spec' ]] ; then
/usr/bin/rm -r /opt/shared/build /opt/shared/dist 2>/dev/null
/home/svc/.local/bin/pyinstaller $name
/usr/bin/mv ./dist ./build /opt/shared
else
echo "Invalid file format"
exit 1;
fi
elif [[ $action == 'make' ]]; then
if [[ $ext == 'py' ]] ; then
/usr/bin/rm -r /opt/shared/build /opt/shared/dist 2>/dev/null
/root/.local/bin/pyinstaller -F --name "qreader" $name --specpath /tmp
/usr/bin/mv ./dist ./build /opt/shared
else
echo "Invalid file format"
exit 1;
fi
...
随便运行一下看看效果,生成了一个/tmp/xxxx.spec
查看.spec文件,发现这不python嘛,我猜它会被当成模块导入
cp一份
写payload
sudo build这个.spec,我们的老朋友如期而至
