本文描述了通过KaliLinux进行网络扫描(包括ARP扫描和端口扫描),发现并利用靶机的漏洞,从DNS子域名开始,逐步获取SSH权限,利用反弹shell技术和Ruby执行任意代码,最终成功提权的过程。
kali:192.168.56.104
主机发现
arp-scan -a
靶机192.168.56.105
端口扫描
nmap -p- -A 192.168.56.105
开了22 80 端口
看一下web界面
给了个域名,先添加到host里面
然后扫一下目录,扫半天就有个shop路由
进去发现只有login界面有用,但是不知道账号密码
扫一下子域名
ffuf -u http://midnight.coffee -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-110000.txt -H 'Host: FUZZ.midnight.coffee' --fw 561
有个dev的子域名
加到host里面
打开发现有账号密码
developer/developer登录
给了ssh的账号密码连接一下
tuna/1L0v3_TuN4_Very_Much
看web文件发现login.php里面有东西
给出了数据库账号密码
里面有shopadmin的密码
$2a$12$yqH60OJyTqoPHXe1g1cGDu93me1v.wGcEEZV5rLy39stUJO.Xsjwi
没有碰撞出来
继续看其他文件
虽然shopadmin用户文件不能用ls查看,但是在定时任务里面发现了一个.sh文件
它会定时执行/tmp里面的sh文件
自己在tmp目录创一个反弹shell的脚本,当任务执行的时候就能拿到shopadmin的shell
成功弹回shell
拿到第一个flag
sudo -l发现可以提权
注意这个*,我们可以插入我们自己写的rb脚本来执行
echo 'exec "/bin/bash"' >shell.rb
sudo /usr/bin/ruby /tmp/shell.rb /opt/shop.rb
2065
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
