点击“蓝字” 关注我们
0x00:靶机介绍
这次是由团队成员时光里写的vulnhub文章。Vulnhub下载链接是 http://www.vulnhub.com/entry/hacksudo-aliens,676/看描述应该是简单级别。
0x01目标探测
安装完靶机启动以后先使用netdiscover确定波靶机IP,排除.1,.2这种默认IP可以确定目标IP是192.168.146.148
命令:netdiscover -i eth0
确认完IP后,常规操作,namp开路
命令:nmap -sS -T4 -A -p- 192.168.146.148
可以看到主要开了22,80,9000端口。先去80端口看看
看到输入点,小手一抖 也没有抖出注入
访问9000端口,是phpmyadmin
并没有特别多的信息,启动gobuster目录扫描器对80端口扫一波
有个backup目录,一般都是备份 访问之,看这么文件名 应该是mysql的备份,里面应该有 mysql的账号密码,可以结合phpmyadmin 拿shell
不出意外 找到了mysql 的账号密码
user="vishal"
password="hacksudo"
0x03 phpmyadmin GetShell
getshell前提条件:
需要知道网站真实路径。如果不知道网站真实路径则后续无法通过URL的方式连shell
读写权限。查询secure_file_priv参数,查看是否具有读写文件权限,若为NULL则没有办法写入shell。这个值是只读变量,只能通过配置文件修改,且更改后需重启服务才生效
首先执行 sql 语句查看是否设置了 secure_file_priv 选项:
show VARIABLES LIKE "secure_file_priv";
secure_file_priv 值为空,那我们便可以通过 MySql 写入Webshell
接着就是找到站点绝对路径
如果管理员配置不当的话,最方便的就是报错爆出绝对路径,但是web 这边没有任何反馈
从数据入手的话 可以查看日志文件地址 安装路径 等
show variables like "%char%";
web页面上也没有爆出路径来,继续翻看了phpmyadmin 还是没找到路径 猜测了几个路径,写入失败权限不足
最后在
/var/www/html 下成功写入
写入shell
select "" into outfile '/var/www/html/shell.php';
shell 成功执行
kali 开启监听 反弹shell
0x04提权
普通用户在使用sudo执行命令的过程中,会以root方式执行命令。在很多场景里,管理员为了运维管理方便,sudoer配置文件错误导致提权
那么sudo 一下?
不存在的。
SUID?
SUID是一种特殊权限,可以让调用者在执行过程中暂时获得该文件拥有者的权限。如果可以找到并运行root用户所拥有的SUID的文件,那么就可以在运行该文件的时候获得root用户权限
find / -perm -u=s -type f 2>/dev/null
百度了一下 介绍如下
都丢到https://gtfobins.github.io/ 居然也有suid
看看方法
跟过来 照做
提权成功。
原文始发于微信公众号(神隐攻防实验室):HacksudoAliens
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论