环境可能需要自行配置,参考文章:靶机渗透——Lin.Security-CSDN博客
namp目录扫描,发现开放了22端口,连接账号密码是:bob:secret
在本地ssh连接,可以看到是一个uid为1004的普通用户,所在组同样也是普通用户
首先尝试内核脏牛提权,uname -a,uname -r查看内核版本
kali上并没有找到可以利用的
尝试sudo,suid提权,先sudo -l查看允许的所有sudo命令
辅助网站,在这个网站可以检索对应的提权方式:GTFOBins,下面以awk为例
成功提权到root用户
awk同样还可以进行suid提权,但并没有提权成功
find / -user root -perm -4000 -exec ls -ldb {} \; 查找SUID文件
利用taskset提权成功
通过计划任务提权,可以看到每分钟系统会以root权限执行一次/etc/cron .daily/backup中的命令
cat /etc/cron .daily/backup
用kali生成payload
将payload写入到计划任务的文件中,并创建两个文件来传入payload
反弹成功
nfs挂载,存在挂载目录,但挂载后没有权限创建文件,可自行找大佬的文章查看,利用uid欺骗写入ssh公钥
读取敏感文件,发现/etc/passwd中有一个属组为0的用户,用字典爆破
尝试切换用户,成功切换到root