小伙伴们我又回来了!是的!我没放弃!只是由于工作加班这几天没有时间打靶机,我会坚持下去的,你们也要继续加油!!!
靶机信息
下载地址:
https://hackmyvm.eu/machines/machine.php?vm=Texte
网盘链接:https://pan.baidu.com/s/1OjMwuU6F1V98x2UnLz-eHA?pwd=xcvx
靶场:HackMyVm.eu
靶机名称: Texte
难度:中等
发布时间:2021年10月8日
提示信息:
无
目标: user.txt和root.txt
实验环境
攻击机:VMware kali 10.0.0.3 eth0桥接互联网,eth1桥接vbox-Host-Only
靶机:Vbox linux IP自动获取 网卡host-Only
信息收集
扫描主机
扫描局域网内的靶机IP地址
sudo netdiscover -r 10.0.0.0/24 -i eth1
扫描到主机地址为10.0.0.142
扫描端口
扫描靶机开放的服务端口
sudo nmap -sC -sV -p- 10.0.0.142 -oN nmap.log
扫描到开放22和80端口,先来看看80端口
Web渗透
访问根目录发现上传功能,提示不要上传php文件,先上传个php文件试试
不允许上传,打开burpsuite尝试更改后缀名绕过,尝试各种绕过的后仍然无法上传,上传一张图片试试。
竟然转成bas64输出,尝试命令注入
注入成功,可以执行命令,试试能不能反弹shell回来
在我随手查看目录下文件名时,发现奇怪的文本文件
查看文件内容
发现内容疑似账号密码,尝试登录SSH
ssh [email protected]
登录成功,查找敏感信息
ls
cat user.txt
拿到user.txt,继续查找
find / -perm -u=s -type f 2>/dev/null
发现/opt目录下的exte文件有suid权限,文件和靶机名称相同,猜测就是用这个提权,先来执行下看看
/opt/texte
未发现可利用信息,再使用strings来查看
strings texte
执行了/usr/bin下的mail,此程序向kamila@localhost邮箱地址发送邮件,内容是Remember,dont upload PHP files.,上网找找mail如何提权
https://www.commandlinux.com/man-page/man1/Mail.1.html
发现修改配置文件可以让mail执行初始命令,验证一下
echo 'shell bash' >.mailrc
提权成功,查看flag
cat /root/root.txt
拿到root.txt,游戏结束。
原文始发于微信公众号(伏波路上学安全):渗透测试练习No.75 HackMyVM Texte
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论