HTB-靶机-Haircut

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关

靶机是作者购买VIP使用退役靶机操作，显示IP地址为10.10.10.24

nmap -p- --min-rate=1000 10.10.10.24

nmap -sC -sV -p 22,80 -oN haircut.nmap 10.10.10.24

nmap扫描结果

根据扫描出来的结果，访问下80端口

得到上没啥用的页面，只能wfuzz快速爆破下目录和文件

gobuster dir -u 10.10.10.24 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,html,txt -t 500

 

发现文件exposed.php 访问一下

按照上面的提示点击了下Go 访问了下

根据上面的页面显示有经验的话，就知道这是curl执行的结果显示，那么猜测目标靶机此功能是调用了curl，那么我们可以使用curl命令直接下载一个php反弹shell代码，然后访问此反弹shell代码，指定路径就按照默认路径尝试，况且上面也爆破出来了目录uploads ，使用burpsuite直接操作

然后访问上传的文件，本地kali监听端口，成功反弹shell

下载提权检查脚本，执行完成之后发现可以通过screen低版本进行提权操作

利用exploit编号41154.sh ；代码内容如下

这里有3部分，我刚开始直接丢到目标靶机上执行操作，发现执行失败了，所以在本地执行此脚本，然后将生成的文件传到目标靶机，再次执行此exploit的最后一部分，如果不行，执行手动执行/tmp目录下的rootshell文件即可提权成功