前言:
kali:192.168.1.4
目標機:192.168.1.35
信息收集:
漏洞挖據:
從掃描信息來看,ftp可以匿名登錄,登錄後獲取文件note.txt,內容如下:
這是個提示,ceng-company.vm是個域名。先IP訪問後,頁面如下:
分析源碼也沒有任何用處,爆破文件,也沒有任何收穫(圖略)。修改host文件,添加如下:
訪問後依然如上圖,爆破文件依然沒有收穫。既然有域名,會不會存在子域名,注意,不要使用subDomainsBrute,它是真的去DNS服務器爆破子域名,在這裏沒用。因爲這個原因我卡了很久,後來看了人家的博客才知道,這裏使用發送請求到目標機的方式爆破,同時也發現wfuzz工具好像挺好用的,爆破命令爲:wfuzz -w 字典 -u ceng-company.vm -H 'Host: Fuzz.ceng-company.vm'。發現admin.ceng-company.vm有用,因爲事出有反必有妖。
修改host文件,內容如下:
因爲訪問後是403狀態碼,但也別急,使用dirbuster爆破目錄看看是否存在可用文件,結果如下:
發現一個gila cms,
本來想看看存不存在一直漏洞,但是突然想起前面note.txt文件中提到是默認密碼,可以嘗試後臺登錄。用戶名是郵箱,密碼默認,現在去找找有沒有郵箱信息,然後再試試弱密碼。但是頁面上沒有任何郵箱,而且已知漏洞沒有任何利用點。看樣子是必須登錄了。登錄如下:
登錄成功後,接下來就是getshell。選擇administrator,然後選擇themes,選擇編輯。
進入後,點擊上一頁,一直返回至無法返回爲止,該頁面可以編輯模板,也可以上傳文件。此處使用上傳文件,因爲修改模板後,該網站全都用不了。在最上層上傳無法寫入,因此到tmp文件夾下上傳。
此時訪問爲403狀態碼,這裏要做點手腳,把.htaccess文件刪掉(圖略),刪內容沒有權限,然後再訪問。
說實話,在這個地方真的是卡了好長時間,後來才發現.haccess文件。
提權:
在home文件,發現兩個用戶文件,其中在swartz用戶文件夾下,其他人可讀可執行,並且發現文件runphp.sh,其他人具有可讀可執行權限。而所屬主爲swartz,也許可以藉助它提權至swartz。
查看源碼後,就是打開一個php的交互,可以使用它反彈一個shell。
這下就可以執行系統命令了,突然一想,等等,這個腳本沒有跨域,不可能借助它提權到swartz。再想想其他辦法,因爲是中等難度,我想現在應該不會讓系統漏洞提權,於是剩下sudo -l和找帶“s”的文件。嘗試使用sudo -l。
可以無密碼使用runphp.sh,並且以swartz的身份運行,這下就可以嘗試提權了。
反彈shell報錯,所以沒辦法反彈。
但是可以直接調用bash,提權就是調用該用戶的bash。
成功提權後,任何命令執行沒有回顯。這個bash調用了個啥,但是仔細一想,提權思路沒錯,應該是函數用錯了,可以使用其他函數看看。使用system函數代替exec函數,之後就有了回顯。
前面的id命令,發現swartz用戶所屬組爲developers,因此對該文件有可讀可執行權限,先進入mitnick文件夾,列出所有文件,最引人注目的就是.ssh文件,所屬組具有可讀可執行的權限,這好像是在暗示我通過ssh連接提權至mitnick。
列出.ssh所有文件後,這簡直就是明示啊,我可以讀取私鑰,然後進行ssh連接。
複製到本地,創建文件,賦權600(圖略),然後進行ssh連接。但是這個私鑰也需要密碼呀,可以使用john爆破一下。
先將私鑰轉化一下,然後開始使用字典爆破。
使用ssh連接,提權至mitnick。
不是最高權限。看連接的提示可以使用sudo執行root命令。但sudo執行需要密碼。突然想起有個user.txt,應該是個flag。
現在sudo -l用不了,系統漏洞概率不到,只能先看看有沒有可以利用的文件。權限目前到這,最高權限卡了很久,後來看了別人的博客才發現,我的帶s的文件壓根沒有find命令,沒有辦法提權,at命令所屬主也不是root,因此沒有辦法提權,或許有其他方法吧。就先到這。