1.arp-san -l 获得靶机IP为192.168.174.149
2. nmap 进行端口扫描,有80端口和22端口开放
3. 访问站点就是一个登录窗口,然后爆破一下,得到了账号admin和密码happy
4. 登录进去以后,可以执行命令,然后用burp抓了个包
5. radio传入参数让系统执行命令,并且radio参数是可控的
6. 反弹shell
7. kali进行监听,反弹成功
8. ls home查看账户 ,有charles, jim , sam
9.各个账户查看一下,好像就jim有点东西。
10. 发现了backups/old-passwords.bak是个密码本。
11. 然后我将密码本复制到pass.txt,三个账户名编成user.txt,用hydra进行爆破,得到了jim的密码为jibril04。
12. 用ssh去连,查看mbox的内容,发现了root发给jim一封邮件
13. 在var/mail里发现了jim,发现是charles发给 jim的,还包含了自己的密码。
14. 同样用ssh登录上charles后,sudo -l 发现能执行teehee不需要密码,可以尝试提权。
15. 查看了一下teehee的用法,应该也是文本编辑器的一种吧。
/etc/passwd的文件结构为
用户名:是否有密码保护(x即有保护):uid:gid:全称:home目录:/bin/bash
然后使用teehee在/etc/passwd添加一个无密码保护的账户,并且将它的uid和gid也设置为root的0,如上图所示。如果按上面添加呢就会多加一个换行符,不知道有没有影响,使用命令su hacker切换到hacker时,还是有密码保护???
追加成功。
然后我又用了另一个命令添加用户
echo “test::0:0:::/bin/bash” | sudo teehee -a /etc/passwd
再切换时,还是有密码保护
成功的话登录就是root了!!!
15. 没事,百度还有另一种方法,在/etc/crontab添加定时任务。
Sudo teehee /etc/crontab
* * * * * root chmod 4777 /bin/sh
表示在/etc/crontab下写入定时计划,一分钟后由root用户给 /bin/bash 命令加权限(chmod 4777即开启suid和rwx权限)。
再执行/bin/sh就提权成功了。
16. 还有一种玩法是修改sudoers文件
echo “Charles ALL=(ALL:ALL) ALL” | sudo teehee -a /etc/sudoers