靶机网站页面
信息收集一下nmap先扫一下看看也可以同时进行其他扫描器扫描(目录爆破等)
可以看到目前就开放了三个端口,其中ftp端口允许匿名登陆账户Anonymous 密码空
我们尝试下
成功进入但是发现好像没什么东西没什么可以利用的
唯一奇怪的可能有用的是发现下面那串字符Security@hackNos
21端口ftp到这就走不通了来看下80,web页面
最后发现只有Troubleshool这个连接是本地连接
要输入账号密码但是我们手上就只有Security@hackNos还不知道它是账号还是密码不知道是一个整体还是两个所以经过一番尝试运气真好账号是admin密码是Security@hackNos
进去后发现只有一个ping_scan一个功能
根据执行结果推测可能使用的命令是
Shell_exec:shell_exec(“ping”.$input)
这时候我们想到“|” shell_exec(a|b)
接下来我们尝试下
执行成功
那我们就可以下载木马上传
成功拿到shell
查看有哪些用户可以用的
一共两个用户可用root和recon
我们查看下可以有什么命令可以利用提权
find / -user root -perm -4000 -print 2>/dev/null
并没有发现有什么命令可以利用提权的
查找recon文件
最后发现在var/opt/python.py发现是个python反弹shell好人啊省得自己写只需要自己改一下,然后在执行这个python文件nc监听一下
成功获得交互式反弹shell
紧接着又发现Security@hackNos这个字符串还是recon账号得密码直接ssh连接
利用sudo提权拿到了哈希
但是这时候发现该主机上装有docker
我们试试看能不能docker逃逸来进行提权
看了下它有那些镜像
发现并没有
那就下载个小镜像吧然后把root文件夹挂载到上面,因为docker环境运行得时候是需要root权限得所以可以实现提权得目的
使用dockeer run alpine chroot 来下载个小镜像
这里网速比较慢我断了几次
下载好后
下一步将root文件夹挂载在上面
docker run -it -v /:/mmmt alpine
把文件夹挂载到mmmt文件夹
可以看到我们已经有了root权限
Docker挂载命令逃逸:-v /root(需要挂载得目录):/abc(新建挂载目录)
来源:freebuf.com 2020-10-28 19:27:12 by: jasongsasd
请登录后发表评论
注册