点击“蓝字” 关注我们

0x00:靶机介绍

这次是由团队成员时光里写的vulnhub文章。Vulnhub下载链接是 http://www.vulnhub.com/entry/hacksudo-aliens,676/看描述应该是简单级别。

0x01目标探测 

安装完靶机启动以后先使用netdiscover确定波靶机IP，排除.1,.2这种默认IP可以确定目标IP是192.168.146.148

命令:netdiscover -i eth0

确认完IP后,常规操作，namp开路

命令:nmap -sS -T4 -A -p- 192.168.146.148

可以看到主要开了22，80，9000端口。先去80端口看看

看到输入点，小手一抖 也没有抖出注入

访问9000端口，是phpmyadmin

并没有特别多的信息，启动gobuster目录扫描器对80端口扫一波

有个backup目录，一般都是备份 访问之，看这么文件名 应该是mysql的备份，里面应该有 mysql的账号密码,可以结合phpmyadmin 拿shell

不出意外 找到了mysql 的账号密码

user="vishal"

password="hacksudo"

0x03 phpmyadmin GetShell

getshell前提条件:

需要知道网站真实路径。如果不知道网站真实路径则后续无法通过URL的方式连shell

读写权限。查询secure_file_priv参数，查看是否具有读写文件权限，若为NULL则没有办法写入shell。这个值是只读变量，只能通过配置文件修改，且更改后需重启服务才生效

首先执行 sql 语句查看是否设置了 secure_file_priv 选项：

show VARIABLES LIKE "secure_file_priv";

secure_file_priv 值为空，那我们便可以通过 MySql 写入Webshell

接着就是找到站点绝对路径

如果管理员配置不当的话，最方便的就是报错爆出绝对路径，但是web 这边没有任何反馈

从数据入手的话 可以查看日志文件地址 安装路径 等

show variables like "%char%";

web页面上也没有爆出路径来，继续翻看了phpmyadmin 还是没找到路径 猜测了几个路径，写入失败权限不足

最后在

/var/www/html 下成功写入

写入shell

select "" into outfile '/var/www/html/shell.php';

shell 成功执行

kali 开启监听 反弹shell

0x04提权

普通用户在使用sudo执行命令的过程中，会以root方式执行命令。在很多场景里，管理员为了运维管理方便，sudoer配置文件错误导致提权

那么sudo 一下？

不存在的。

SUID？

SUID是一种特殊权限，可以让调用者在执行过程中暂时获得该文件拥有者的权限。如果可以找到并运行root用户所拥有的SUID的文件，那么就可以在运行该文件的时候获得root用户权限

find / -perm -u=s -type f 2>/dev/null

百度了一下 介绍如下

都丢到https://gtfobins.github.io/ 居然也有suid

看看方法

跟过来 照做 

提权成功。

原文始发于微信公众号（神隐攻防实验室）：HacksudoAliens