type
Post
status
Published
date
Dec 6, 2022
slug
Backdoor
summary
oscp-like-Backdoor
tags
oscp
靶机
category
网络安全
icon
password
0x00 端口扫描
22和80都很正常,这个1337端口nmap无法识别出来。
0x01 80-wordpress
一眼wp,内容除了标题都是默认的,没找到啥有用的信息,图片路径为 http://backdoor.htb/ ,home跳转的也是这个。不过在 /etc/hosts 加上后除了图片能加载出来没找到啥区别。
wpscan扫描一波。
没找到什么有用的漏洞,用户可以跑出个admin,弱口令字典跑不出密码。
扫描目录时发现了问题
目录可以直接访问,存在目录遍历漏洞
那还用啥wpscan枚举插件,直接去插件目录看不久完事了。
任意文件读取漏洞,看来想 getshell 还得费点劲
尝试用数据库密码登录admin用户,失败。
读取
/etc/passwd 可以看出来有登录shell的就root和user
root读取不了,不过user用户的家目录是可以读取的。
/home/user/.bashrc可惜没找到私钥、bash历史记录啥的。
0x03 1337端口
看来还是得从1337端口入手,首先得找到1337端口是什么进程监听的。
通过读取
/proc/sched_debug 可以得知运行的进程及其pid。通过爆破
/proc/[pid]/cmdline 得到了1337端口的启动参数
这里把上面列出来的pid做成字典会快很多,我这里偷了个懒。
网上找到了相关的exp。
0x04 提权
感觉psexec和screen比较有戏
用python弹个全功能shell
当前用户没有会话,但是root用户(有s权限才可以看到root的,默认情况下root权限不跟用户名也只能看到当前用户的会话)下面有个会话
psexec漏洞提权应该也是可以的,版本对的上。