type
status
date
slug
summary
tags
category
icon
password
jangow 01
信息收集
端口扫描
攻击机ip:192.168.108.50
靶机ip: 192.168.108.140
Web服务探测
开放了21和80端口,ftp和http,先访问80端口看看
图片.png
已暴露
Apache/2.4.18 (Ubuntu),可以用于版本指纹识别或 CVE 匹配(如 CVE-2017-3167、CVE-2017-7679)
site点进去是一个普通的网站,带一个搜索框
图片.png
目录爆破
没找到其他信息,开始目录爆破,都是一些常规的默认目录,再尝试扫描=下一级目录,无果
漏洞利用
命令注入
查看一下网页源码,发现当前的整个网站里唯一有动态后端交互的是
busque.php使用sqlmap查看一下能否sql注入,发现显示,没有注入点
测试是否调用
include($_GET['buscar']) 类似逻辑,无效最后发现是命令执行,尝试反弹shell,发现无效,可能做了限制,尝试绕过,
图片.png
图片.png
图片.png
发现对空格没限制,ip地址也没限制,但就是无法绕过,将busque.php加密后输出再解密还原,发现就简单的处理,并没有在这上面做限制,尝试创建和写入文件,发现可以,但是也无法建立shell,那我们就考虑到可能做了端口的限制
图片.png
Webshell上传与反弹Shell
换个思路,写入一句话木马,使用蚁剑成功连接,打开终端,尝试建立反向shell,考虑到开放了80端口,那就很有可能也开放了443端口,攻击机监听443端口,成功连接到jangow01,继续寻找信息来为我们后续提权做铺垫
图片.png
权限提升
信息泄露与FTP登录
进入wordpress,发现config文件,查看一下,发现了泄露的数据,看样子是数据库的账户名密码,尝试寻找登录入口,发现了一个在html下的备份文件,看样子是老的密码,但苦恼的是我们目前并没有拿到任何登录的后台,有且仅有一个21端口登录,尝试ftp连接一下,发现使用$username = "jangow01";$password = “abygurl69”;可以连接
图片.png
图片.png
本地提权准备
ftp逛了一圈,没啥东西,尝试终端提权,因为之前已经拿到了jangow01的密码,直接su到jangow01看看,先把userflag拿了,查看提权方法,不被允许执行尝试上传linpeas.sh
但由于防火墙的存在,我们这里使用ftp传,作者应该也是这样想的,要不然也没必要开个ftp
图片.png
- Linux内核漏洞:内核版本较旧(4.4.0-31),存在多个已知漏洞(如脏牛(dirtycow)、eBPF_verifier等)
- Sudo版本:1.8.16,可能存在CVE-2021-3156(Baron Samedit)漏洞
内核漏洞利用 (eBPF_verifier)
传入eBPF_verifier的exp
- Author:axlfpe
- URL:https://tlifecafe.xyz/article/4916288d-e2b3-4ebd-89a7-6a04d7568669
- Copyright:All articles in this blog, except for special statements, adopt BY-NC-SA agreement. Please indicate the source!
