0x01 前言

做完Archetype继续来做Oopsie

0x02 过程

Scan Port：

Getshell

开启burp suite浏览网站，发现后台：

使用Archetype实验获取到的密码MEGACORP_4dm1n!! 登陆成功：

上传功能要超级管理员才可以上传，使用Accout页面的功能枚举账号：

使用burpsuite的intruder功能进行爆破：

访问上传页面拦截并修改cookie的user参数：

成功显示上传界面：

编写kali自带的php-reverse-shell.php，文件在/usr/share/webshells/php，把信息修改成监听的机子：

监听端口，等待连接：

上传php文件：

但是找不到上传后的文件地址，使用kali自带的dirbuster对网站进行扫描：

找到uploads文件，尝试把上传的文件名放在uploads访问，已经反弹成功：

Privilege Escalation

读取web应用下的db.php文件获取到数据库连接信息：

登陆robert用户，因为还不是交互式的shell，可以使用命令SHELL=/bin/bash script -q /dev/null :

看到robert用户属于两个组，看下bugtracker有s权限，能使用root的权限执行：

输入id，可以看到它是使用cat读取root目录的文件信息：

我们可以使用改变当前目录的path值，当前用户执行bugtracker程序是会优先使用当前的path变量：

然后在tmp目录下写入一个cat，程序会先执行这个cat，cat的内容是/bin/bash，执行后会以root形式执行 /bin/bash /root/reports/：

执行成功后：

0x03 总结

1、还是要细心为主

2、关于文中为什么可以用bugtracker来提权为root，可以参考以下两个链接：

关于Linux下s、t、i、a权限：https://www.cnblogs.com/qlqwjy/p/8665871.html

LINUX s权限位提权：http://www.361way.com/suid-privilege/5965.html

3、过程有一个设置path的知识点

robert@oopsie:/$ export PATH=/tmp:$PATH
robert@oopsie:/$ cd /tmp
robert@oopsie:/tmp$ echo '/bin/bash' > cat
robert@oopsie:/tmp$ chmod +x cat

export PATH=/tmp:$PATH export是设置环境变量，这条语句设置PATH的变量，/tmp:$PATH 的$PATH代表原本的PATH变量，把/tmp加到这边变量的前面

4、提权到root发现cat用不了，因为我们已经改变了cat为/bin/bash,可以使用more、xxd等命令查看文件内容