做到第五个靶机了,前面的环境配置这些准备活动就没什么好说的了
我们直接来扫网段
我们进网页端口看看
经过网页的遍历,我们暂时没有发现明显的漏洞
然后我们再看看111端口
之前我是不知道111端口是啥的。查了一下
依然不知道。
继续进行信息收集
扫一下路径和文件
我们看看是不是典型的cms
还是不行。。。
那么我们回到网页端,寻找漏洞。
这里有个思想,就是通过应用方向来推测可能出现的漏洞
网页端唯一的应用就是发留言。
留言板常见漏洞是xss
尝试了一下,打不进去。自己还是太菜了,到这里没有思路了。看了别的师傅的wp
这里我们每提交一次留言,底下的下标就会发生变动
所以这里很可能有文件包含漏洞
实战情况下,我们要先对参数进行爆破。但是这里是典型的常用参数file,我们就不爆破了。
包含以下footer,很显然,这就是之前我们的页面,证明这里有文件包含。
尝试写入一句话木马并访问错误日志
注入成功。蚁剑连接一下
进去了
接下来就是常规操作反弹shell
先用nc监听端口
在蚁剑打开终端发送shell
利用python将shell变为交互式
python -c "import pty;pty.spawn('/bin/bash')"
接下来就是提权了
找一下有suid权限的文件
大佬说这里面一眼能看出第四个可能有漏洞。。。。。。
实在不知道为什么
看看kali上面有没有相关exp
小tips:searchsploit是kali上自带的漏洞库
把sh分析一下
一开始看到这个挺懵的。
我们抓住关键,eof是指一个程序内容的结束,所以仔细观察,我们可以把上述内容分为三个部分
这里画图有些繁琐,就用其他师傅的图和注解啦(红字为引用注解)
按照文件的说明,可分为三部分,将第一个框里内容保存为第一文件,名为libhax.c,然后使用打五角星的命令编译,编译结束会生成libhax.so文件。
同样地,第二个框里内容保存为rootshell.c文件,使用打五角星的命令编译,编译结束后生成rootshell文件。
将第三个框里内容保存为第三个文件,命名随意
一开始我尝试直接在蚁剑编译前两个文件,但是最后提权都会失败
所以只能传递文件
这里推荐两个方法传递这三个文件
如图所见的两个方法。
这里有一个要注意的点,我们只能传到靶机tmp目录中,只有这个目录有足够权限能进行写入
最后直接运行第三个文件提权。
正常来讲到这里基本结束。
但是如上图,我的kali的gcc版本过高,导致靶机运行的时候出错。这种问题很奇葩,我问了很多人,查了不少资料。如果要解决,应该要换kali或者降低gcc版本。这里就不换了。
成功提权之后的步骤: