靶机下载地址:https://www.vulnhub.com/entry/fristileaks-13,133/
按照作者所说,进行配置修改
信息收集
扫描靶机 IP
kali:192.169.85.128
靶机:192.168.85.161
扫描靶机端口,只有一个 80 端口,访问一下
nmap -A 192.168.85.161
扫描靶机的目录
dirsearch -u http://192.168.85.161/
web 漏洞探查利用
查看一下 robots.txt
都拼接,查看一下
全都是这个图片
这不是 URL 你需要寻找
然后在首页发现了一个目录 fristi,拼接访问
查看页面的源代码
发现了这么一段话
我们需要清理它以供生产。我在这里留下了一些垃圾,以便于测试
然后在下方发现同样的被注释的 base64 编码,复制
复制到 kali 中,并解密,发现是 PNG 文件
重定向文件,修改文件的后缀,查看图片
这句话的下面有个 by eezeepz 这个可能是用户名,上面的这个 keKkeKKeKKeKkEkkEk 可能是密码
eezeepz : keKkeKKeKKeKkEkkEk
使用这个账号密码进行登录
登录成功,看到了一个 upload file 文件上传的地方
上传一句话木马 php 文件,发现限制了文件的后缀(白名单绕过)
使用文件多后缀解析可绕过
看到文件已经上传成功,拼接路径 /fristi/uploads/1.php.jpg 进行连接
使用蚁剑进行连接
监听
准备开启监听的文件
修改文件的内容 ip 改为 kali 的 ip
把文件复制到蚁剑连接的靶机中
开启监听,访问目录文件,反弹 shell
http://192.168.85.161/fristi/upload.php/1.php.jpg
提权
查看一下用户可使用命令
发现不能使用 sudo
那只能使用其他的用户了
ls -al /home 查看到只能读取 eezeepz 的目录
cd 到eezeepz 目录下,看看有什么值得关注的文件
看到了一个 notes.txt 文件
cat 查看一下
哟,EZ,
我使您可以进行一些自动检查,但我只允许您访问 /usr/bin/* 系统二进制文件。我做了
然而,将一些额外的、经常需要的命令复制到我的 homedir: chmod, df, cat, echo, ps, grep, egrep 这样你就可以使用它们了从 /home/admin/
不要忘记为每个二进制文件指定完整路径!
只需在 /tmp/ 中放入一个名为 “runthis” 的文件,每行一个命令。这
输出到 /tmp/ 中的 “cronresult” 文件。它应该
使用我的帐户权限每分钟运行。
-杰瑞
意思是可以执行一些命令在名为 /tmp/runthis 文件里,结果在 cronresult 中,命令为 chmod, df, cat, echo, ps, grep, egrep 但是在 admin 的目录下,应该是需要 admin 的权限
使用 /tmp/runthis 文件,将该文件夹的权限打开
再查看一下 admin 文件的权限,发现变成可以访问的满权限了,查看 admin
查看下面的文件
这里发现了两个加密过后的文件内容,但是存在解密的脚步,使用他的脚步进行解密
修改脚本,反向解码
LetThereBeFristi!
thisisalsopw123
(可能是密码)
在 /home 目录下还有个用户 fristigod 可能是要登录这个用户
登录用户,发现登录不了
发现第一个密码登录失败,第二个成功了
查看一下用户可使用命令
看到了一个文件的路径 /var/fristigod/.secret_admin_stuff/doCom
好的尝试,但是错误用户?; )
那就利用 fristi 用户
sudo -u fristi ./doCom
sudo -u fristi ./doCom /bin/bash -p
成功提权
在 /root 目录下寻找到战利品