[PHP知识库]HTB——Previse靶机wp

Previse

• 2021/10/30 by ruanruan

0x00 信息收集

1、IP

10.10.11.104

2、port

全端口扫描：

详细版本信息：

• 22 ssh：高版本，尝试用m4lwhere、newguy做user进行爆破，无果。

• 80：web，登录框

  

  思路：

  • 用户名枚举+爆破，F
  • 万能密码，F
  • SQL注入，F
  • 目录扫描，T
  • 框架漏洞，F
  • 逻辑漏洞，F

3、目录文件

未登录：

0x01 登录web系统

通过抓accounts.php请求，改返回包的状态码为200 OK；绕过跳转成功访问页面。创建用户quan1。

登录后：

尝试上传webshell，但是没有绝对路径，只能下载。

对siteBackup.zip进行代码审计：

0x02 Getshell

logs.php提示使用了python，提示下方发现exec()函数。

利用exec函数反弹shell

得到www-data用户权限

收集信息：

查看开发端口

3306端口开放可本地连接。

查看etc/passwd

查看/home/目录，发现m4lwhere目录下存在user.txt，但是读权限为m4lwhere用户。

连接mysql

出现一堆报错

通过百度报错信息，可通过加转义字符解决。

连接成功但无回显

想到了之前师父教的-e参数

okk，得到m4lwhere的password hash

0x03 获得高权限用户

尝试利用hashcat进行破解，百度工具用法

开始不懂这个hash结构，只复制了部分，没破解出来，应该复制全部内容

得到密码

ssh登录

得到user-flag。

0x04 提权至root

linux常见提权尝试：

• sudo：sudo -l

  

• suid

  • find / -type f -perm -u=s 2>/dev/null -ls

    

• crontab

  • ls -l |grep cron*

    

  • ls -al，看有无root权限执行的脚本

• nfs

  • showmount -e ip

• 内核

  • uname -a

    

  • searchsploit

收集常见的提权信息后，聚焦到这个以root权限执行的可执行文件

联想到之前学习过的tar通配符注入提权漏洞。

搜索了一下gzip 提权，并没有。

卡了很久，最终抄答案抄的一脸懵逼

提权原理为环境变量劫持-SUID 扩展，通过劫持环境变量，达到执行任意命令的目的。

具体可参考：https://blog.csdn.net/zhalang8324/article/details/104430273

获得root flag~