信息搜集
首先对靶机进行信息搜集
1 |
nmap -sV -sC -A 192.168.169.139 |
开放了80,22端口,Ubuntu系统,我们访问80端口看看,使用谷歌的插件进行第二波信息搜集
发现他是Ruby写的网站,并且使用了Ruby on Rails框架,这里对后面的渗透有关键的影响
再来看网站内容,貌似是个cms,里面都是一些文章,还有注册登录窗口
漏洞挖掘
点击注册发现不让注册,对登陆进行了注入,未授权,爆破等方式,全都失败了
我们又去扫描网站的目录,也都是只有跳转到登陆窗口,这时候在网站的内容里发现了突破点
我们点进来看看,他提示我们密码重置是在password_resets,我们直接访问也访问不到
这时候实在没招了,直接看wp,在Ruby on Rails中应该访问password_resets/new
让我们重置密码,我输admin也不行,然后随便找了几个用户,发现xer这个可以重置,先试试吧
但是看到这里,我在想能不能来修改这个name来重置其他用户的密码呢
我们继续重置完xer的密码以后,登陆上去发现了一个上传文件的点,但是我们上传的时候提示被关闭了
我们继续翻,翻到users界面发现了一堆用户以及他们的权限,我们这时候发现King是超级管理员权限,想着重置他的密码,但是提示只能重置普通用户,我们直接联想到刚刚的name参数,把name改成King成功重置,然后开启文件上传权限,传了php一句话以后发现不解析,GG
又去看WP,发现这里上传路径可控,可以上传 authorized_keys 到 rails 用户下的.ssh 就可以免密码登录 ssh
1 |
ssh-keygen -f rails 生成ssh密钥 |
将 authorized_key 上传到/home/rails/.ssh/
然后登陆SSH
1 |
mv rails id_rsa-rails |
后渗透提权
首先先 看系统的版本 cat /etc/lsb-release
直接找提权exp,这里给出exp 下载地址https://www.exploit-db.com/exploits/45010
我们先看看靶机上有没有gcc ,测试了一下没有,只能自己编译好上传了
把exp下载到本地,gcc 45010.c -o exp,然后对exp进行base64编码 命令:base64 exp
然后在靶机里新建,把base64编码复制进去,然后进行解码,然后给exp777权限,然后执行
1 |
vi 666.64 |
相关推荐: 【技术分享】关于JDK7u21 Gadgets两个问题的探讨
最近在分析JDK7u21的Gadgets,有两个不解之处,阅读前辈们的文章发现并未提起:1.为什么有的POC入口是LinkedHashSet,有的是HashSet,两个都可以触发吗?2.关于map.put("f5a5a608", templates…
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论