先扫一下端口
nmap -sS -sV 192.168.8.143
发现22、113、139、445、8080端口
发现提示去找html_pages,和一个用户名patrick
查看源码发现发现去找Development
html_pages中发现有development.html
在development.html发现作者提示找./developmentsecretpage
访问http://192.168.8.143:8080/developmentsecretpage/
点击sitemap
再点Click here to log out
发现一个登录页面
尝试登录发现报错页面回显为
Deprecated: Function ereg_replace() is deprecated in /var/www/html/developmentsecretpage/slogin_lib.inc.php on line 335
发现使用slogin_lib.inc.php组件
去exploit-db查一下slogin_lib.inc.php漏洞
https://www.exploit-db.com/exploits/7444
根据漏洞库中的提示访问
http://192.168.8.143:8080/developmentsecretpage/slog_users.txt
发现4个账户及密码,密码看起来像MD5加密的
尝试找个网站解密
admin, 3cb1d13bb83ffff2defe8d1443d3a0eb
——》解不出来
intern, 4a8a2b374f463b7aedbb44a066363b81
——》12345678900987654321
patrick, 87e6d56ce79af90dbe07d387d3d0579e
——》P@ssw0rd25
qiu, ee64497098d0926d198f54f6d5431f98——》qiu
这三个账号只有intern能够登录ssh
执行id命令发现报错且ssh断开,根据报错信息可知存在lshll对命令进行限制
echo $SHELL也可发现用的是lshell
参考文章绕过lshell
https://www.aldeid.com/wiki/Lshell
https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=834949
找到2种方法
echo os.system(‘/bin/bash’)
或
echo && ‘bash’
再intern家目录下没发现什么信息,但再patrick家目录下发现password.txt和access.txt
su到patrick查看两个文件,好像没啥用,
但是提到网站,那就去html目录看下
发现了一些有意思的东西,流量包,图片、二进制,作者的留言,但看起来都没啥用
sudo -l看一下sudo权限,发现用vim和nano
尝试用vim或nano提权,sudo 打开vim或nano,调一下bash
提权成功,家目录发现flag
undefined