MENU

Cherry靶机摸索过程

December 31, 2020 • Read: 67 • 靶机阅读设置

Cherry靶机摸索过程

信息收集

  1. 使用nmap发现主机,并扫描该主机所有端口
    port
  2. 访问80端口的web页面,未发现疑点
    web
  3. 访问7755端口 ,同样是一张图,无疑点
    7755_web
  4. 使用kali中的cewl工具获取关键词备用
    cewl
  5. 使用御剑爆破目录,发现2个敏感目录
    yujian

漏洞探测

  1. 打开info.php,发现只能下载,是一个phpinfo的文件,感觉没用。
    info
    phpinfo
  2. 打开backup,403禁止访问
    backup_403
  3. 对7755端口也尝试御剑爆破目录,发现同样的目录
    7755_yujian
  4. 打开7755端口的info.php,发现可以访问,可以查看phpinfo的信息
    7755_info
  5. 打开7755端口的backup,发现可以访问

7755_dir

  1. 访问backup下的command.php,虽然页面什么都没有,但是可以通过抓包发现存在注释<!-- </?php echo passthru($_GET['backup']); ?/> -->

7755_command

命令执行

  1. 查了一下passthru()这个函数,可以执行命令,于是构造URL通过?backup=传入参数

passthru
backup_command

  1. 因为可以命令执行,所以反弹Shell,但是未成功

shell_fantan

  1. 尝试nc反弹,无效果

nc_shell

  1. 尝试php反弹shell,无效果

php_shell

  1. 反弹好像不行,查看了一下python的环境,发现返回空信息

python

  1. 查看bash的运行目录,查看发现存在python的运行环境

bash_find
bash_python

  1. 使用python运行目录再执行反弹shell,成功,通过查询python,发现在/bin/sh下无法执行python,确定之前反弹shell确实是因为运行环境问题

shell

提权

  1. 因为该靶机的flag在root文件夹下,所以需要将当前的www-data用户提升权限到root,搜索互联网上的提权教程,发现常见的有:

  2. 查看内核版本,使用的是已修复的内核版本,无法使用内核提权
    uname
  3. 尝试使用SUID提权,首先使用find / -perm -u=s -type f 2>/dev/nullfind / -perm -g=s -type f 2>/dev/null查看一下查找带有SUID/SGID权限的文件
    suid_find
  4. https://www.freebuf.com/articles/system/244627.html找到了可以使用setarch提权
    setarch_find
  5. 输入提权命令,提权成功
    setarch_root
  6. 切换到root文件夹,发现FLAG
    flag
Last Modified: August 16, 2021
Archives QR Code Tip
QR Code for this page
Tipping QR Code