环境配置
全部设置为NAT
主机探测
接下来就是常规的扫描。
信息收集
端口探测:
sudo nmap -sV -O -p- --min-rate 10000 192.168.234.159 -oA nmapscan/ports
开放了 22,80端口第一突破口是80端口。
漏洞扫描:
sudo nmap --script=vuln -p 22,80 192.168.234.159 -oA nmapscan/vuln
这个扫出来的CVE没什么用,那继续信息收集吧。
网站后台扫描:
dirsearch -u http://192.168.234.159
在这里没有进行-x的截断操作,因为本来就没有多少后台。
有个登录接口,那就去试试吧!
什么东西不给也不说,估计就是弱密码或者是sql万能密码。那就burp试试吧!
不知道为什么kali中的burp爆破的速度好慢啊,那就试试宿主机的burp。
还得是我宿主机的burp啊快的飞起,将长度上下反一下看到破解出来的密码,那就不试sql万能密码了吧。
登录后台
哎,有点懵逼。(著名大佬曾说过,当你一脸懵逼的时候就看看源码。)
看着像是个命令执行,那就就修改一下看看。
Getshell
嗯,确定了就是命令执行,但是修改源代码好难受,那就用burp修改内容吧。反弹shell吧。
记得kali先开启nc,那就放行吧。
弹上来了,那就进一步的交互shell。
python -c 'import pty;pty.spawn("/bin/bash")'
python3 -c 'import pty;pty.spawn("/bin/bash")'
有时候python的版本不一样,命令也有些许差异。
先去看看里面有什么东西吧,没准有用户密码呢。
有三个账户,那就继续找找吧。 又想到开放了个ssh服务,有可能让我们暴力破解。那就继续找找有什么好东西。
没有root权限也就开不了shadow。
在home目录下还是有三个用户,那就暴力破解试试。(其实我还是忘了一步后面再说)
进入到了jim的目录下看到 old-passwords.bak的备份文件,这不就开始明示我暴力破解啊。
那就开始暴力破解吧。
个人比较喜欢hydra,美杜莎很少使用。
hydra -l jim -P password.txt -vV 192.168.234.159 ssh
爆出来密码,那就开始连接吧。
sudo ssh jim@192.168.234.159
上来了,sudo -l的jim用不了啊,估计要换个用户搞。
查看mobx文件,里面给了提示。 这是个邮件再找找看还有没有别的邮件。
linux 的邮件默认保存在 /var/mail目录下,发现了一些好东西,提示我们转换到Charles用户。
su一下,进去了。
哦,找到了一个teehee提权,那就找找怎么提权吧。Gtfobins启动 (让我输的那么彻底,没有。)那百度一下吧
在这里给自己科普一下:/etc/passwd中的含义
字段依次为用户名、加密后的密码、用户ID号、组ID号、注释、主目录路径、默认shell
贴个连接:https://www.cnblogs.com/zlgxzswjy/p/16118468.html
追加一个root用户。
echo "raaj::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
拿到root权限,进一步验证。
进一步得到验证了。
SUID提权
find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} \;
find / -perm -4000 2>/dev/null
也是第一次遇到这个提权方法,那就searchsploit查找一番吧,Gtfobins没有找到提权方法。
那就扒下来吧。
在kali中搭建一个http服务,在getshell中下载下来提权脚本。(还是那句话/tmp我的神)
呦吼~变为#号了,我的最爱。
进一步验证一下。
至此结束!