password
status
date
icon
category
tags
slug
summary
0x00 端口扫描
22和80都很正常,这个1337端口nmap无法识别出来。
0x01 80-wordpress
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2Fdb2f780d-cccc-427e-89b6-4995ac273991%2FUntitled.png?table=block&id=1a96a7e7-9e0c-460d-89a6-28e57a6097fb)
一眼wp,内容除了标题都是默认的,没找到啥有用的信息,图片路径为 http://backdoor.htb/ ,home跳转的也是这个。不过在 /etc/hosts 加上后除了图片能加载出来没找到啥区别。
wpscan扫描一波。
没找到什么有用的漏洞,用户可以跑出个admin,弱口令字典跑不出密码。
扫描目录时发现了问题
目录可以直接访问,存在目录遍历漏洞
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2Fa4cfc292-3bb2-4b1d-ab04-b00ae0be30bf%2FUntitled.png?table=block&id=8bc7a095-c825-4c47-a19e-3b1f431af46f)
那还用啥wpscan枚举插件,直接去插件目录看不久完事了。
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2Fd7b13c6a-5356-4da5-8aad-2935aac703b2%2FUntitled.png?table=block&id=cd7239f9-8f60-44e1-b778-1ec630fd976f)
任意文件读取漏洞,看来想 getshell 还得费点劲
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2F5dd7e3b0-7fe3-4cd0-badd-56ae549b0993%2FUntitled.png?table=block&id=592eb791-59f5-46ae-8db3-a99ba9ac9967)
尝试用数据库密码登录admin用户,失败。
读取
/etc/passwd
可以看出来有登录shell的就root和user![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2F34bb6777-51c6-4dfa-b900-ebb0f0413eaa%2FUntitled.png?table=block&id=de6fed79-b358-4091-a81d-02ae4a232964)
root读取不了,不过user用户的家目录是可以读取的。
/home/user/.bashrc
可惜没找到私钥、bash历史记录啥的。
0x03 1337端口
看来还是得从1337端口入手,首先得找到1337端口是什么进程监听的。
通过读取
/proc/sched_debug
可以得知运行的进程及其pid。通过爆破
/proc/[pid]/cmdline
得到了1337端口的启动参数![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2F6e4e94d2-9d2d-4081-807c-9a177da98140%2FUntitled.png?table=block&id=7edc3730-37d4-4094-bd67-4ca0635b22be)
这里把上面列出来的pid做成字典会快很多,我这里偷了个懒。
网上找到了相关的exp。
0x04 提权
感觉psexec和screen比较有戏
用python弹个全功能shell
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2Fe6bdfdf6-904f-4fe9-9905-a60999d99b86%2FUntitled.png?table=block&id=c3f40b0a-efd6-4cea-8479-7ddebf46acb9)
当前用户没有会话,但是root用户(有s权限才可以看到root的,默认情况下root权限不跟用户名也只能看到当前用户的会话)下面有个会话
psexec漏洞提权应该也是可以的,版本对的上。
- 作者:fatekey
- 链接:https://blog.fatekey.icu/article/Backdoor
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。