靶机下载地址:下载链接
这里通过arp-scan -l
来发现主机,主机IP地址:10.0.2.7
信息搜集
namp对IP地址进行端口扫描(开放21,22,82端口)
通过80端口访问,首页是一个登录页面,尝试用弱密码进行登录一下,发现不能登录成功
接着访问一下其他页面,发现concat下有一些基本信息(可以搜集尝试登录,但无果),其他页面也没有什么有用信息
接下来用dirsearch进行目录扫描,可以发现有一些文件可以访问 README.md以及还有一个后台登录页面
查看README.md文件,发现这个网站是作者在GitHub上面发布了源代码的,同时这里面有一个用户名为admin的账号密码
尝试登录home.php,发现还是错误,但是我们还有一个后台登录,发现是administrator登录的
用admin和password123登录,发现登录成功
然后进一步点击发现应该存在SQL注入和逻辑漏洞,但是无法得到root权限,前面扫描中还有一个重要信息,是有一个cgi-bin的目录,但是响应码是403,应该是权限不能够访问(存在CGI接口,有可能用shell脚本来处理客户端提交的数据和请求,就有可能条用cgi-bin/目录下的shell脚本来处理),所以,这里再扫描一下cgi-bin/目录下的sh,cgi这样的文件,发现有两个文件
漏洞发现
通过nmap的脚本shellshock来检测是否存在漏洞
漏洞利用
发现这个漏洞可以利用,并且还有CVE编号,可以直接采用网上的exp来获取shell,这里用shell脚本,来写一个用bash来执行的函数,并且查看是否有nc
有nc之后,将命令换成nc反弹的命令
成功反弹shell
权限提升
通过sudo -l,可以发现一个thor用户,
再用/etc/passwd
查看一下用户,发现thor可以执行bin/bash
可以通过/home/thor/./hammer.sh
进入thor用户,并且需要输入一些什么,尝试都输入有关系统的命令,发现可以执行
然后输入bash,执行thor用户的shell
同理查看一下sudo -l
,发现再不用密码的情况下可以执行两个命令
这里可以用cat命令来查看/etc/shadow
,然后来爆破root账户,还可以通过service来提权
关于利用操作系统权限配置不当来提权的相关操作:https://gtfobins.github.io/
总结:主要突破点shellshock破壳漏洞以及GTFOBins提权