billu b0x2靶机
老规矩 nmap 开路
通过探测可以看到该靶机一共开放了5个端口,我们还是把目光放在80端口上
访问如图:
看到底下 该网站使用了 “Drupal”框架搭建,前几个月该框架曝光过一个高危漏洞,根据这些靶机的惯用尿性,应该是存在该漏洞的。通过MSF来搜索该漏洞,如图:
发现有漏洞,调用模块输入ip和payload,如图:
成功拿下shell。。。。 如图:
下一步肯定就是提权了,我们也还是按照正常流程走,为了演示方便,小弟上传了一个webshell,并在/tmp 目录下 上传几个探测脚本,如图:
下面就比较简单,给权限运行脚本
可以看到该脚本探测给出了比较多的可能可以成功提权的漏洞编号,小弟试了一个脏牛,卡住了,没有提权成功。
下面小弟进行执行另外一个探测脚本,看看有没有什么突破口,如图:
通过上面几个探测脚本的探测结果,我们搜集了2处可以继续利用提权的地方,本次仅仅演示一种,另外一种希望留给各位大佬自己去实验测试。
- /etc/passwd 文件可以写,其中 “indishell”用户权限较高
- /opt/s 拥有root权限
本次演示第二种提权方法, 使用 strings 查看 /opt/s , 如图:
发现其会 scp 命令 且为 root 权限,下面为只需要上传一个 恶意后门命名为 scp ,本次靶机测试 小弟就只需要拿到root shell 即可 所以scp文件只写入“/bin/bash”。如图: - tip:
- 这里随便创建一个txt命名为scp即可,内容是/bin/bash
- 然后按步骤来,就能拿到root
下面是我们查看一下环境变量,命令:echo $PATH
下一步就是把 我们刚刚上传 scp 文件的目录 “/tmp” 添加进变量,如图:
通过上面的命令可以看到,已经把/tmp 目录添加进了变量,并且也给了权限给“scp”文件,下一步就是 切换到/opt/目录下,执行“./s” 如图:
可以看到 我们已经成功拿到root权限。
上面留的另外一个突破口和那些跑出来的可能可以提权的漏洞,留给各位小伙伴们自行线下测试!!!
结语
感谢各位大佬百忙之中的观看,祝您生活愉快,工作顺心,身体健康!!!
转载出处: https://www.anquanke.com/post/id/158937
559
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
