Oopsie
需要用到的工具
burp
nmap
nc
手写代码
信息收集
由于是靶场的原因单一没有子站所以收集到ip就可以
nmap扫描
拿到IP第一件事就是扫描端口
nmap -T4 -sV -sC -sS 10.129.24.79
-T4:提升扫描速度
-sV:查看详细版本
-sC:使用默认类别的脚本进行扫描 可更换其他类别
-sS:半连接扫描
端口:22、80
先看80端口
80是网站端口
打开浏览器输入ip
经过被动扫描发现后台目录
访问后台看下
发现一个上传文件的地方
点击发现需要管理员的权限
随意点击看看
在Account下发现,用户名guest与id:2233此时灵光一现会不会跟cookie有关
F12看下cookie:发现在cookie中对应的是页面上显示的id与用户名
尝试修改id看看
发现当id等于1的时候显示了admin账户与id。。。(不愧是简单级别的靶场)
但我们的目标是getshell不是webshell
修改cookie
把刚刚获取的id与账户放进cookie尝试进入uploads(上传模块)
发现可以上传文件了
上传木马反弹权限
上传木马
枚举上传路径(工具应该可以搭配代理池)
反弹shell
访问文件反弹shell
现在访问文件反弹shell
建立半交互式shell(普通shell无法使用 su等命令)
SHELL=/bin/bash script -q /dev/null
SHELL=/bin/bash :将shell设置为/bin/bash
/bin/bash :告诉系统,其后路径所指定的程序,即是解释此脚本文件的 Shell 程序
/dev/null:被称为黑洞
进入网站根目录
cd /var/www/html
ls
查看当前目录
发现刚刚在burp被动扫描出来的登录页面,目录文件夹。
进入登录文件夹
cd /cdn-cgi/login
发现几个有趣的文件
查找密码
cat * |grep -i passw*
cat * :进入当前目录下的所有文件内
|grep -i:查找文件并且不区分大小写
passw*:内容:passw开头的全部信息显示出来
发现一个疑似密码的东西
查看可用用户
cat /etc/passwd
这个文件里面记录着用户
尝试登录
利用刚刚得到的密码进行重要用户登录
su root
su robert
失败
再次寻找密码
重新查看文件发现一个看起来很小的文件
db.php
打开看看
cat db.php
没想到就看到了robert账户与密码
再次尝试登录robert账户
登录成功
获取一段flag
进入home/robert目录下
cd /home/robert
权限提升
测试命令
sudo与id
sudo -l
id
查看用户组文件
查看这个组内是否有二进制文件
发现一个二进制文件
查看文件权限与类型
ls -la /usr/bin/bugtracker && file /usr/bin/bugtracker
权限是root,类型是suid(这是个有前途的利用路径)
suid(setuid):设置了这个不管那个用户执行这个文件都相当于root权限执行的
文件执行
发现这个文件是把用户输入的当做cat命令去执行(貌似是个快捷打开工具)
但是没有指定cat的绝对路径
写入文件并加入环境变量
查看环境变量
发现bugtracker这个文件所在的文件夹在环境变量中,说明这个脚本不会限制位置。
进入一个空文件夹:/tmp
新建cat文件:echo '/bin/sh'>cat
添加执行权限:chmod +x cmd
添加目录到环境变量:export PATH=/tmp:$PATH(如果不把这个文件夹加入环境变量就是无效的)
export 命令用于设置或显示环境变量(说人话就是添加与删除环境变量)
/tmp: :/tmp是这个文件夹 : (在linux环境变量中冒号就是结尾类似windows环境变量中的;(分号)。)
开启文件。
拿到root权限
获取第二段flag
这段flag在root目录下
由于我们把cat定义为了/bin/sh所以此时cat命令是不可用的可以使用more或xxd等命令代替。
声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权!
免费领取安全学习资料包!
渗透工具
技术文档、书籍
面试题
帮助你在面试中脱颖而出
视频
基础到进阶
环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等
应急响应笔记
学习路线
