|
0x00:靶机介绍 这次的靶机是SolidState,难度为Medium。有些小坑,卡了我好久属实折磨怪。 0x01:信息收集常规操作起手python autorecon.py慢慢信息收集。这里扫到邮箱端口还有1个HTTP还有一个奇奇怪怪的JAMES 80端口起码是个比较正常的网页。 0x02:利用弱口令登录4555端口去到4555端口感觉有点奇怪,都不给我输入东西直接login failed。裂开
那么我改成万能的nc一开始用adminadmin卒,换成双root成功震惊.jpg。
可以用Help查看命令。这里我用Listuser可以列出当前的用户,可以理解为用弱口令登录超级管理员开始为所欲为了 这里顺便根据名字查了以下有个py脚本可利用。 打开以后要注意这个py脚本是2014年的要自动把python环境降为py2,顺便把payload改为一句话等下会用。 0x03:登录邮箱端口探查信息成为root以后是真的可以为所欲为,我直接把所有密码设置为123456
此时用我们的nc连接我们的邮箱端口110用刚才的一堆用户配合密码123456逐个查看
去到John邮箱看到他老板给他个任务限制新员工mindy的权限
去到Mindy邮箱有2封信。第一个是欢迎 第二封直接起飞拿到个账号结合前面john老板的语气应该是ssh端口作为突破点 起飞,登录成功 不过这个rbash肯定是个限制shell。不过可以绕过。 0x04:绕过限制shell目前这个shell属实折磨cd都做不了,没办法只好利用刚才的py脚本,这里要删掉目前窗口重新登录一次,提前开启nc,然后在python2环境下Python 35513.py
记得重新登录一次提前开启nc,成功接收逃离shell 0x05:提权这里提权属实大E了,理解错误我们先用psaux |grep james 人名来检查一波各种打工人的权限。去到james那里发现一个run.sh奇奇怪怪先去到/opt先 去到/opt的时候发现一个tmp.py居然是3个rwx=chmod 777好家伙谁都可以编辑而且是root权限起飞。看了一波脚本内容。经过后面的实验就是每隔几分钟会删除/tmp里面所有内容 这里说下坑点。因为是777权限也就是说阿猫阿狗都能执行这个tmp.py脚本。很容易就会想到插入一句话反弹。但要注意一个问题。目前root是隔几分钟就会运行tmp.py去删除/tmp目录下的内容,而我作为mindy用户也可以直接python起手直接删了/tmp目录里面的内容。但不同的点在于一个是mindy,一个是root。假如说我们插入python反弹shell进入tmp.py以后直接运行是以mindy用户运行反弹文件。那接收的shell也是mindy的。不会直接越级。而只有当root运行反弹python脚本以后,接收过来的才是root权限。 所以我们先传一个改好的tmp.py脚本上去先 去到tmp目录下把它传过来以后cp过去 最后啥也不做直接开nc慢慢等shell回来就能变root了
下一篇应该是windows靶机Bastard,是时候复仇了
| 
提升卡
变色卡
千斤顶
照妖镜
