信息收集:
nmap -A -Pn 10.129.27.224
发现经常在22端口开放的SSH出现2222端口,通过nmap简单扫描基本可以判断出主机为ubuntu
80端口开放,判断其开放了WEB界面,没什么好注意的地方
查看一下源代码,发现了bug.jpg
把图片下载下来没发现什么特别的东西
没什么思路后,进行正常的目录扫描
dirsearch -u http://10.129.27.224
发现/cgi-bin/目录,对cgi,sh,pl脚本进行特定扫描
feroxbuster -u http://10.129.27.224/cgi-bin/ -x cgi,sh,pl
发现存在user.sh,但是user.sh并不像想象中是一个含有用户名的脚本文件,更像是执行了一个命令(老实说到这里之后就没了思路,后依然参考了0xdf的博客)
ShellShock Background
ShellShock, AKA Bashdoor or CVE-2014-6271, was a vulnerability in Bash discovered in 2014 which has to do with the Bash syntax for defining functions. It allowed an attacker to execute commands in places where it should only be doing something safe like defining an environment variable.
找到存在CVE-2014-6271,因为CGI的WEB服务器通常将UA头部字符串存储在环境变量中,由于UA字符串完全由攻击者控制,这导致在这些系统上远程执行代码、
尝试ping命令成功,后进行反弹shell
成功反弹shell
权限提权:
sudo -l 发现 perl 命令可以无密码运用root权限
sudo perl -e 'exec "/bin/sh";' 获取root权限