免责声明
文章为作者学习记录,请勿利用文章相关技术从事非法活动,
如因此产生任何的不良后果与文章作者无关,本文仅供学习参考。
攻击机:VM kali-linux
1.信息收集
nmap:收集端口服务信息
1、nmap -p- 192.168.56.109 2、nmap -sC -sV -p 80,139,445 192.168.56.109 -oN nmap.log
发现靶机开放了80,139,445,10000,20000端口
产看版本信息,139,445端口默认为SMB服务(Samba是在Linux和UNIX系统上实现SMB协议的一个免费软件)
2.WEB渗透
访问WEB
返回一个Apache2的默认页面,在元素中发现一串加密字符串,应该是Brainfuck 混淆加密。
解码得到明文:.2uqPEfj3D<P'a-3
用得到的明文当作密码尝试smbclient登录,发现密码错误
这里用enum4liux -r ip 枚举用户名,得到一个cyber用户,尝试用cyber用户去登录远程共享结果不得行
......捣鼓了一会,意识到还有两个端口没用,于是又扫了一下.....
发现10000,20000这俩端口开放着http服务,尝试访问
两个端口都对应这个页面,用上面得到的cyber用户,.2uqPEfj3D<P'a-3明文登录,结果登录成功(这里我登录的20000这个端口,10000这个端口我一直登录不上去也不知道为啥>_<)。
又捣鼓了一会,发现新大陆:Command shell
点进去发现真是个shell,于是拿到第一个flag,并在home中发现一个tar可执行文件,之后应该会用到
3.提权
这里通过 find / -perm -u=s -type f 2>/dev/null 并没有得到有用的信息
......于是又捣鼓的好一会......
找到一个密码的备份文件:、/var/backups/.old_pass.bak.但是可以看到没有任何权限,这里tar就发挥作用了
tar:tar命令在解压时会默认指定参数--same-owner,即打包的时候是谁的,解压后就给谁;如果在解压时指定参数--no-same-owner(即tar --no-same-owner -zxvf xxxx.tar.gz),则会将执行该tar命令的用户作为解压后的文件目录的所有者。
因此用tar将.old_pass.bak压缩再解压即可,查看得到密码:Ts&4&YurgtRX(=~h
这里反弹shell一下,因为我在最开始那个shell上用su -命令一直不稳定,登录不上去。最后反弹shell成功,并且成功登录,拿到root权限,拿到第二个flag,Game Over!