Oopsie从80端口到获取root权限的渗透过程

admin 2023年4月27日18:10:46评论30 views字数 1998阅读6分39秒阅读模式
                     

学网安渗透

扫码加我吧

免费&进群

Oopsie从80端口到获取root权限的渗透过程  
Oopsie从80端口到获取root权限的渗透过程

Track安全社区投稿~  

千元稿费!还有保底奖励~

Oopsie

需要用到的工具
burp
nmap
nc
手写代码

信息收集

由于是靶场的原因单一没有子站所以收集到ip就可以

Oopsie从80端口到获取root权限的渗透过程

nmap扫描

拿到IP第一件事就是扫描端口
nmap -T4 -sV -sC -sS 10.129.24.79
-T4:提升扫描速度
-sV:查看详细版本
-sC:使用默认类别的脚本进行扫描 可更换其他类别
-sS:半连接扫描
端口:22、80

Oopsie从80端口到获取root权限的渗透过程

先看80端口

80是网站端口
打开浏览器输入ip
经过被动扫描发现后台目录

Oopsie从80端口到获取root权限的渗透过程

访问后台看下

发现一个上传文件的地方
点击发现需要管理员的权限

Oopsie从80端口到获取root权限的渗透过程

Oopsie从80端口到获取root权限的渗透过程

随意点击看看

在Account下发现,用户名guest与id:2233此时灵光一现会不会跟cookie有关
F12看下cookie:发现在cookie中对应的是页面上显示的id与用户名
尝试修改id看看
发现当id等于1的时候显示了admin账户与id。。。(不愧是简单级别的靶场)
但我们的目标是getshell不是webshell

Oopsie从80端口到获取root权限的渗透过程

Oopsie从80端口到获取root权限的渗透过程

修改cookie

把刚刚获取的id与账户放进cookie尝试进入uploads(上传模块)
发现可以上传文件了

上传木马反弹权限

上传木马
枚举上传路径(工具应该可以搭配代理池)

Oopsie从80端口到获取root权限的渗透过程

Oopsie从80端口到获取root权限的渗透过程

反弹shell

访问文件反弹shell

现在访问文件反弹shell
建立半交互式shell(普通shell无法使用 su等命令)
SHELL=/bin/bash script -q /dev/null
SHELL=/bin/bash :将shell设置为/bin/bash
/bin/bash :告诉系统,其后路径所指定的程序,即是解释此脚本文件的 Shell 程序
/dev/null:被称为黑洞

Oopsie从80端口到获取root权限的渗透过程

进入网站根目录

cd /var/www/html
ls
查看当前目录
发现刚刚在burp被动扫描出来的登录页面,目录文件夹。

Oopsie从80端口到获取root权限的渗透过程

进入登录文件夹

cd /cdn-cgi/login
发现几个有趣的文件

Oopsie从80端口到获取root权限的渗透过程

查找密码
cat * |grep -i passw*
cat * :进入当前目录下的所有文件内
|grep -i:查找文件并且不区分大小写
passw*:内容:passw开头的全部信息显示出来
发现一个疑似密码的东西

Oopsie从80端口到获取root权限的渗透过程

查看可用用户

cat /etc/passwd
这个文件里面记录着用户

Oopsie从80端口到获取root权限的渗透过程

尝试登录

利用刚刚得到的密码进行重要用户登录
su root
su robert
失败

Oopsie从80端口到获取root权限的渗透过程

Oopsie从80端口到获取root权限的渗透过程

再次寻找密码

重新查看文件发现一个看起来很小的文件
db.php
打开看看
cat db.php
没想到就看到了robert账户与密码

Oopsie从80端口到获取root权限的渗透过程

再次尝试登录robert账户
登录成功

Oopsie从80端口到获取root权限的渗透过程

获取一段flag

进入home/robert目录下
cd /home/robert

Oopsie从80端口到获取root权限的渗透过程

权限提升

测试命令
sudo与id
sudo -l
id

Oopsie从80端口到获取root权限的渗透过程

查看用户组文件

查看这个组内是否有二进制文件
发现一个二进制文件

Oopsie从80端口到获取root权限的渗透过程

查看文件权限与类型

ls -la /usr/bin/bugtracker && file /usr/bin/bugtracker
权限是root,类型是suid(这是个有前途的利用路径)
suid(setuid):设置了这个不管那个用户执行这个文件都相当于root权限执行的

Oopsie从80端口到获取root权限的渗透过程

文件执行

发现这个文件是把用户输入的当做cat命令去执行(貌似是个快捷打开工具)
但是没有指定cat的绝对路径

写入文件并加入环境变量

查看环境变量
发现bugtracker这个文件所在的文件夹在环境变量中,说明这个脚本不会限制位置。
进入一个空文件夹:/tmp
新建cat文件:echo '/bin/sh'>cat
添加执行权限:chmod +x cmd
添加目录到环境变量:export PATH=/tmp:$PATH(如果不把这个文件夹加入环境变量就是无效的)
export 命令用于设置或显示环境变量(说人话就是添加与删除环境变量)
/tmp: :/tmp是这个文件夹 : (在linux环境变量中冒号就是结尾类似windows环境变量中的;(分号)。)
开启文件。

Oopsie从80端口到获取root权限的渗透过程

Oopsie从80端口到获取root权限的渗透过程

Oopsie从80端口到获取root权限的渗透过程

拿到root权限

Oopsie从80端口到获取root权限的渗透过程

获取第二段flag

这段flag在root目录下
由于我们把cat定义为了/bin/sh所以此时cat命令是不可用的可以使用more或xxd等命令代替。

Oopsie从80端口到获取root权限的渗透过程


申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,

所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.


Oopsie从80端口到获取root权限的渗透过程

没看够~?欢迎关注!


分享本文到朋友圈,可以凭截图找老师领取

上千教程+工具+交流群+靶场账号

 

Oopsie从80端口到获取root权限的渗透过程

 分享后扫码加我



回顾往期内容

Xray挂机刷漏洞

零基础学黑客,该怎么学?

网络安全人员必考的几本证书!

文库|内网神器cs4.0使用说明书

代码审计 | 这个CNVD证书拿的有点轻松

【精选】SRC快速入门+上分小秘籍+实战指南

    代理池工具撰写 | 只有无尽的跳转,没有封禁的IP!

Oopsie从80端口到获取root权限的渗透过程

点赞+在看支持一下吧~感谢看官老爷~ 

你的点赞是我更新的动力



原文始发于微信公众号(掌控安全EDU):Oopsie从80端口到获取root权限的渗透过程

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年4月27日18:10:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Oopsie从80端口到获取root权限的渗透过程https://cn-sec.com/archives/1695669.html

发表评论

匿名网友 填写信息