0x01 信息收集
1.1 检查与靶机的连通性
1.2 端口扫描
发现服务器开放22端口和80端口,分别对应SSH和HWeb服务。Web服务页面如下:
可以看到只是个静态页面,无法跳转各种页面。
1.3 目录扫描
仅发现两个状态为200的页面,经检查为同一页面。
1.4 指纹识别
同样得不到任何信息,我们尝试使用Burpsuite。
应用系统使用的server为apache,语言为PHP/8.1.0-dev。
1.5 使用nikto对目标系统进行简单扫描。
0x02 获取user.txt
2.1 对22端口SSH服务进行爆破。
2.2 php/8.1.0-dev后门利用
查阅资料,php/8.1.10-dev存在后门,经验证,后门存在。
目测我们可以获取一个james的普通用户。继续进行利用,尝试反弹shell。
nc 开启监听9999端口
Burpsuite进行反弹shell命令。
反弹shell成功!获取user.txt。
0x03 获取root.txt
3.1 查看具有sudo权限的文件和文件夹
提示/usr/bin/knife文件有root权限且不需要密码。所以我们可以利用这个文件进行提权,获取root文件夹目录。
3.2 创建a.rb文件,执行它可以为/bin/bash增加s特殊权限。
3.3 使用上面的特殊权限文件对/bin/bash进行提权。
3.4 打开具有root权限的/bin/bash,进入root.txt,获取flag。
3.5 提交Flag。
原文始发于微信公众号(Matrix1024):HTB靶场系列之Knife通关攻略
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论