Enumeration
nmap
使用nmap初步扫描发现只开放了22和80端口,端口详细扫描情况如下
先看看web是什么样子的,打开网站发现有一条留言,显示该站点已经被黑了, 并且留下了后门
查看源代码,可以看到下面的注释
<!--Some of the best web shells that you might need ;)-->
应该是留下了一个后门,要想法办找到它,目录扫描也没有发现什么东西,在google中搜索注释中的那句话,然后找到一个github
在里面又发现了一些webshell
Reverse Shell
将这些webshell的名字写入一个字典,然后使用目录扫描工具来爆破目录即可完成要求
可以看到/smevk.php是存在的,访问该路径发现一个登录表单
在github页面搜索,可以看到用户名和密码都是admin
成功登录后,可以看到如下页面,页面中有各种选项
在左下角有执行系统命令的功能,尝试反弹shell
先使用nc -e并没有成功,然后在https://www.revshells.com/网站中一个一个试吧,总有一个能得到shell
Lateral Movement
当前只是webadmin用户,用户目录下有以下内容
打开note.txt,发现了这个,显示黑客留下了一个工具
然后使用sudo -l进一步发现webadmin不需要密码可以以sysadmin身份执行命令 luvit
搜索luvit时得到以下结果,应该是一个可以执行lua代码的工具
刚刚发现webadmin目录下还有.bash_history,记录了黑客执行过的一些命令
执行以下命令
echo "require('os');" > priv.lua echo "os.execute('/bin/bash');" >> priv.lua
然后用luvit执行priv.lua,然后就得到了sysadmin的shell
然后去sysadmin目录下拿到flag即可
Privilege Escalation
引导模式的任务7是问以ssh登录时他会打印什么东西,那我们必须想办法以ssh 连接目标,可以直接使用 ssh-keygen 在本地生成ssh凭据,选择默认即可 然后复制id_rsa.pub的内容到authorized_keys中
接下来就可以使用ssh连接目标了
使用pspy监控计划作业,利用python在本地开启http服务,然后在目标下载
下载后添加执行权限,然后运行该程序,即可监控系统运行的进程
工具显示结果如下
该目录中显示文件如下
打开其中一个文件查看,可以看到是使用ssh登录时,打印出来的欢迎信息
首先在本地开启监听,然后将反弹shell脚本写入00-header,关闭ssh,再重新连接即可得到root shell