htb打靶-Busqueda

发表于 分类于 阅读次数:

信息收集

拿到靶机ip先nmap扫描下

image-20230714141955637

开放80 22 看下web,输入ip跳转到这个域名

image-20230714142038037

添加下域名解析

image-20230714142152680

正常访问

image-20230714142321734

大致意思是,输入搜索内容,随便输入,返回url

image-20230714142547846

跳转到一个新的网站,没什么用,扫下目录,没发现东西

image-20230714143016191

探测下cms,flask的一个框架

image-20230714143430215

网站首页下方

image-20230714143536245

寻找exp,找到一个利用https://github.com/nikn0laty/Exploit-for-Searchor-2.4.0-Arbitrary-CMD-Injection 一个rce

exp

一发入魂,返回shell,这里ip是自己攻击机的ip

image-20230714144549508

image-20230714144612028

提权

sudo -l,因为是反弹的shell,需要加-S,提示我们要密码

image-20230714165010614

找到一个隐藏目录,在config文件中撞出密码

image-20230714165352629

找到一个sui权限的python文件,但是没有查看权限,通过名字可以得知是系统检查

image-20230714165556425

反弹的shell不太方便,直接ssh上去,运行这个脚本

image-20230714170436776

提示需要参数,带入参数执行

image-20230714170908350

参数名和当前目录下一个文件名相同,有可能是调用了这个full-check.sh文件,我们创建一个自己的full-checkup.sh试试,切换到tmp目录,但是在执行的时候一直报错,文件会被删除

image-20230714172000899

1
touch full-checkup.sh&&echo 'chmod +s /bin/bash' >> full-checkup.sh&&chmod +x full-checkup.sh&&sudo /usr/bin/python3 /opt/scripts/system-checkup.py full-checkup