HacksudoAliens

admin 2022年7月22日16:37:29评论23 views字数 1326阅读4分25秒阅读模式

点击“蓝字” 关注我们

0x00:靶机介绍

这次是由团队成员时光里写的vulnhub文章。Vulnhub下载链接是 http://www.vulnhub.com/entry/hacksudo-aliens,676/看描述应该是简单级别。

HacksudoAliens

0x01目标探测 

安装完靶机启动以后先使用netdiscover确定波靶机IP,排除.1,.2这种默认IP可以确定目标IP是192.168.146.148

命令:netdiscover -i eth0


HacksudoAliens


HacksudoAliens


确认完IP后,常规操作,namp开路

命令:nmap -sS -T4 -A -p- 192.168.146.148

HacksudoAliens

HacksudoAliens


可以看到主要开了22,80,9000端口。先去80端口看看

HacksudoAliens

看到输入点,小手一抖 也没有抖出注入

HacksudoAliens


访问9000端口,是phpmyadmin

HacksudoAliens

HacksudoAliens


并没有特别多的信息,启动gobuster目录扫描器对80端口扫一波

HacksudoAliens

HacksudoAliens


有个backup目录,一般都是备份 访问之,看这么文件名 应该是mysql的备份,里面应该有 mysql的账号密码,可以结合phpmyadmin 拿shell

HacksudoAliens


不出意外 找到了mysql 的账号密码

user="vishal"

password="hacksudo"

HacksudoAliens


0x03 phpmyadmin GetShell

getshell前提条件:

需要知道网站真实路径。如果不知道网站真实路径则后续无法通过URL的方式连shell

读写权限。查询secure_file_priv参数,查看是否具有读写文件权限,若为NULL则没有办法写入shell。这个值是只读变量,只能通过配置文件修改,且更改后需重启服务才生效

HacksudoAliens


首先执行 sql 语句查看是否设置了 secure_file_priv 选项:

show VARIABLES LIKE "secure_file_priv";

HacksudoAliens


secure_file_priv 值为空,那我们便可以通过 MySql 写入Webshell

HacksudoAliens


接着就是找到站点绝对路径

HacksudoAliens


如果管理员配置不当的话,最方便的就是报错爆出绝对路径,但是web 这边没有任何反馈

从数据入手的话 可以查看日志文件地址 安装路径 等

show variables like "%char%";

HacksudoAliens

HacksudoAliens

HacksudoAliens


web页面上也没有爆出路径来,继续翻看了phpmyadmin 还是没找到路径 猜测了几个路径,写入失败权限不足

HacksudoAliens

HacksudoAliens

最后在

/var/www/html 下成功写入

写入shell

select "" into outfile '/var/www/html/shell.php';

HacksudoAliens

HacksudoAliens


shell 成功执行

HacksudoAliens

HacksudoAliens

kali 开启监听 反弹shell

HacksudoAliens


0x04提权


普通用户在使用sudo执行命令的过程中,会以root方式执行命令。在很多场景里,管理员为了运维管理方便,sudoer配置文件错误导致提权

那么sudo 一下?

HacksudoAliens

不存在的。

HacksudoAliens


SUID?

SUID是一种特殊权限,可以让调用者在执行过程中暂时获得该文件拥有者的权限。如果可以找到并运行root用户所拥有的SUID的文件,那么就可以在运行该文件的时候获得root用户权限

find / -perm -u=s -type f 2>/dev/null

HacksudoAliens

HacksudoAliens

百度了一下 介绍如下

HacksudoAliensHacksudoAliens

HacksudoAliens

都丢到https://gtfobins.github.io/ 居然也有suid



HacksudoAliens

HacksudoAliens


看看方法

HacksudoAliens

HacksudoAliens

跟过来 照做 

HacksudoAliens


提权成功。






原文始发于微信公众号(神隐攻防实验室):HacksudoAliens

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月22日16:37:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   HacksudoAlienshttp://cn-sec.com/archives/787664.html

发表评论

匿名网友 填写信息