端口扫描发现仅开放了80端口

Pasted_image_20240801222601.png

首页如下:
Pasted_image_20240801222636.png

通过dirb发现存在test.asp文件和Sites文件夹(里面代码文件是空的)
Pasted_image_20240801222708.png

访问提示了 <!--script src=hidd3n-script></script>-->
Pasted_image_20240801222743.png

直接访问 hidd3n-script 文件,可以发现是javascript代码,但是经过了一些混淆。
Pasted_image_20240801222820.png

这里可使用在线平台 http://jsnice.org/   或 https://www.dejs.vip/encry_decry/obfuscator.html  反混淆或F12大法均可
Pasted_image_20240801222909.png

可以得到以下关键图片
Pasted_image_20240801222943.png

又一个循环
Pasted_image_20240801223016.png

仔细检查javascript代码,发现一个拼接的路径 1f2e73705207bdd6467e109c1606ed29-21213 (javascript里面注释)
Pasted_image_20240801223053.png

根据注释的js代码拼接路径获得了一个新的二级路径
Pasted_image_20240801223231.png

还是php的站点隐藏伪装成iis的!!!
Pasted_image_20240801223306.png

通过关键词 slogin_POST_send 搜索到漏洞: https://www.exploit-db.com/exploits/7444
Pasted_image_20240801223354.png

使用php反弹脚本 https://github.com/pentestmonkey/php-reverse-shell  进行反弹
Pasted_image_20240801223444.png

成功的接收到shell
Pasted_image_20240801223524.png

使用python创建交互式shell 
python3 -c 'import pty; pty.spawn("/bin/bash")'

查看版本、内核:(后补的图)

Pasted_image_20240801223640.png

查找suid程序
Pasted_image_20240801223711.png

检测pkexec版本,确定存在漏洞
Pasted_image_20240801223742.png

提权使用  https://github.com/arthepsy/CVE-2021-4034/
成功进行提权获取到root权限,其中proof.txt内容:361b2f5b9f2591f7844dde78939ad4d4
Pasted_image_20240801223815.png

搜集

搜集到的系统用户名和密码如下:
用户名 哈希 密码
root $6$o5.sY//6$lZjs18bifYSaw71/7lLVYxzGZxXNRUQ3U/kKfvgPNBFVBwE7onLgLBFBbZJGpSNc4lSOJ1PzRUdSAu7lpUuiY/
kibosh $6$fcLQUCyf$dgO9Ft0NfNhrgep.mbx/eYjM07.xorxl79M2k8K1lUtu2NF18mGsZ7qxNuNFw.OVtGnEuPZgdGEHAbiUJqE/j0