扫描目标ip
扫面目标ip的开放的端口
扫描此网站有哪些目录
访问,都需要登录,要不然就是错误页面
是个登录界面,尝试burp破解密码。
一般都是存在的账户:admin,密码是happy
得到密码,就可以登录进去看看
可以执行命令,但是没找到可利用的信息
那我们去抓包试试看,看到第一个命令传输的是ls+-h,再去看看其他两个包
发现可用利用这里执行我们想执行的命令
查看一下用户权限和一些文件信息,还是没找到想要信息
既然可执行命令,那我们试试反弹shell。
直接执行会导致符号解析错误,需要使用url编码试试
先监听、再执行反弹shell命令
查看下文件,home的用户,旧的password文件
使用nc命令传送把old-password文件传到本地
知道了密码本,还有用户名。使用hydra工具爆破
登录到用户,
查看有哪些suid权限的文件
发现有exim4命令,可以提权,查看版本号为4.89
利用kali自带的msf框架查看有哪些漏洞
scp拷贝文件到jim用户中
执行脚本
提权成功
提权方法二、
jim用户查看到一个邮件的文件,去/var/mail目录查看还有没有其他邮件
发现charles的登录密码,登录看看
这个用户也不是root权限,那就sudo-l查看有哪些权限,发现有个命令不需要密码可以执行。
查看该命令用法
新键root用户在/etc/passwd文件加入具有root权限的自定义用户名并且不设置密码;
- 用户名:密码占位符:用户id:组id:备注信息:家目录:命令执行环境
- echo'admin::0:0:::/bin/bash' |sudo teehee -a /etc/passwd
su切换admin用户即可获得root权限
总结:
靶场流程:
- 利用弱口令进入web,发现命令执行漏洞
- 建立反弹shell,拿到jim密码,链接ssh
- 在邮件文件中发现其他用户密码,发现该用户有sudo -l无密码的命令执行权限
- 利用suid命令进行提权到root
技巧:
- 在打靶场时,如果Web页面没有什么提示信息,那么多半都是弱口令漏洞,尽管爆破就可以了。
- 提权时,可使用sudo -l命令查看当前用户的权限,或许有意外收获,比如本次的sudo无密码使用权限。
- SUID权限是一个好东西,使用以下命令查找存在SUID权限的命令(文件):find / -type f -perm -u=s 2>/dev/nul
本文含有隐藏内容,请 开通VIP 后查看