前面几步和我之前写的My File Server一样
1、发现靶机ip---192.168.0.118
2、使用nmap扫描
3、访问80端口得到的信息是一样的----一个不知道用户名的密码rootroot1
4、匿名连接21端口,访问结果和前面是一样的,依然没有权限下载
5、匿名连接2121端口,结果一样
6、连接smb服务,这个是有权限的,和之前一样,发现了smbuser用户
7、还是一样的试试是不是要使用秘钥登录,发现果然是的,那么接下来的任务就是需要把id_rsa.pub文件上传到/home/smbuser/.ssh/目录下并改名为authorized_keys
8、尝试使用smbuer/rootroot1登录ftp服务,但是两个都登不上,所以这条路就走不下去了
9、想一想其他办法,看看部署服务的软件上是否有漏洞,于是需要回到nmap扫描结果那里
21端口使用的是vsftpd3.0.2
上网搜索一下有没有相关漏洞,确实是有漏洞,但是没找到exp,vsftpd2.3.4倒是一大把,但是没用
2121端口使用的是ProFTPD 1.3.5
这个上网搜索一下立马出现一堆未授权文件复制漏洞,这个倒是有利用方法:http://bugs.proftpd.org/show_bug.cgi?id=4169
其实这个漏洞Exploit-db漏洞库也有收录:https://www.exploit-db.com/exploits/36742
10、接下来就是利用这个漏洞,顾名思义,未授权复制文件,就是可以在没有权限的情况下将一个文件从某处复制到某处,于是我们想到把文件先使用smb上传到smbdata目录下,然后在将文件复制到/home/smbuser/.ssh目录下并改名
接下来看具体利用
首先通过smb上传本地生成的id_rsa.pub文件,成功上传
然后使用命令行ftp连接靶机2121端口,这里不能使用anonymous登录,随便使用一个用户名和密码登录错误就行
这里尝试复制到root目录下权限是不允许的,然后粘贴错误需要重新赋值,最后成功复制,这里解释一下命令含义
site cpfr pathname 复制一个文件
site cpto pathname 复制到某处(跟上的最后是个文件名就改名了)
使用anonymous登录成功是这个样子,ls命令是用不了,复制文件时显示没有此目录或文件
ssh成功登录
11、提权
这里可以看它的内核版本,也是两个办法,同样的是3.10.0
于是脏牛提权
通过smb上传文件
编译,执行,成功提权并查看文件
12、总结
提权这里还有一个方法,两个靶机都能用,使用命令
su root
密码:rootroot1
但是这能成功就很奇怪,su root输入的应该是root的密码,但是rootroot1并不是root的密码,这里使用smbuser的密码rootroot1却成功了。
之前学习的时候学过使用sudo su命令提权,但是使用这个是有条件的,要求执行该命令的用户必须在sudoers中才可以,这里不行
想要看视频详细讲解的可以看这位up主:https://space.bilibili.com/321132362