用户
搜索
  • TA的每日心情
    奋斗
    2021-2-25 10:34
  • 签到天数: 123 天

    连续签到: 2 天

    [LV.7]常住居民III

    i春秋-核心白帽

    Rank: 4

    57

    主题

    76

    帖子

    2696

    魔法币
    收听
    0
    粉丝
    9
    注册时间
    2020-7-23
    发表于 2021-2-11 15:41:06 910490
    0x00:靶机介绍
    这次的靶机是SolidState,难度为Medium。有些小坑,卡了我好久属实折磨怪。
    0.png
    0x01:信息收集
    常规操作起手python autorecon.py慢慢信息收集。这里扫到邮箱端口还有1个HTTP还有一个奇奇怪怪的JAMES
    1.png
    80端口起码是个比较正常的网页。
    2.png
    0x02:利用弱口令登录4555端口
    去到4555端口感觉有点奇怪,都不给我输入东西直接login failed。裂开
    3.png

    那么我改成万能的nc一开始用adminadmin卒,换成双root成功震惊.jpg。
    4.png

    可以用Help查看命令。这里我用Listuser可以列出当前的用户,可以理解为用弱口令登录超级管理员开始为所欲为了
    5.png
    这里顺便根据名字查了以下有个py脚本可利用。
    6.png
    打开以后要注意这个py脚本是2014年的要自动把python环境降为py2,顺便把payload改为一句话等下会用。
    7.png
    0x03:登录邮箱端口探查信息
    成为root以后是真的可以为所欲为,我直接把所有密码设置为123456
    9.png

    此时用我们的nc连接我们的邮箱端口110用刚才的一堆用户配合密码123456逐个查看
    10.png

    去到John邮箱看到他老板给他个任务限制新员工mindy的权限
    11.png

    去到Mindy邮箱有2封信。第一个是欢迎
    12.png
    第二封直接起飞拿到个账号结合前面john老板的语气应该是ssh端口作为突破点
    13.png
    起飞,登录成功
    14.png
    不过这个rbash肯定是个限制shell。不过可以绕过。
    15.png
    0x04:绕过限制shell
    目前这个shell属实折磨cd都做不了,没办法只好利用刚才的py脚本,这里要删掉目前窗口重新登录一次,提前开启nc,然后在python2环境下Python 35513.py
    8.png

    记得重新登录一次提前开启nc,成功接收逃离shell
    17.png
    0x05:提权
    这里提权属实大E了,理解错误我们先用psaux |grep james 人名来检查一波各种打工人的权限。去到james那里发现一个run.sh奇奇怪怪先去到/opt先
    18.png
    去到/opt的时候发现一个tmp.py居然是3个rwx=chmod 777好家伙谁都可以编辑而且是root权限起飞。看了一波脚本内容。经过后面的实验就是每隔几分钟会删除/tmp里面所有内容
    19.png
    这里说下坑点。因为是777权限也就是说阿猫阿狗都能执行这个tmp.py脚本。很容易就会想到插入一句话反弹。但要注意一个问题。目前root是隔几分钟就会运行tmp.py去删除/tmp目录下的内容,而我作为mindy用户也可以直接python起手直接删了/tmp目录里面的内容。但不同的点在于一个是mindy,一个是root。假如说我们插入python反弹shell进入tmp.py以后直接运行是以mindy用户运行反弹文件。那接收的shell也是mindy的。不会直接越级。而只有当root运行反弹python脚本以后,接收过来的才是root权限。
    所以我们先传一个改好的tmp.py脚本上去先
    20.png
    去到tmp目录下把它传过来以后cp过去
    21.png
    最后啥也不做直接开nc慢慢等shell回来就能变root了
    22.png

    下一篇应该是windows靶机Bastard,是时候复仇了

    公众号:神隐(咸鱼)攻防实验室希望各位大佬能关注一波
    发表于 2021-2-12 18:17:09
    辛苦了,年三十还发帖子!!
    末心网络安全团队 | Q群374327762 | QQ1044631097
    使用道具 举报 回复
    M0x1n 发表于 2021-2-12 10:17
    辛苦了,年三十还发帖子!!

    我爱学习,学习使我快乐
    公众号:神隐(咸鱼)攻防实验室希望各位大佬能关注一波
    使用道具 举报 回复
    感谢皮卡丘表哥分享!
    使用道具 举报 回复
    发表于 2021-2-19 15:53:22
    HTB靶场这一套文章 你写多少我追多少!!! 大佬加油,我要催更啦~~~
    使用道具 举报 回复
    发表于 2021-2-19 16:14:18
    皮卡丘牛批
    使用道具 举报 回复
    皮卡丘牛批
    使用道具 举报 回复
    皮卡丘牛批
    使用道具 举报 回复
    可爱的小雨淅淅 发表于 2021-2-19 07:53
    HTB靶场这一套文章 你写多少我追多少!!! 大佬加油,我要催更啦~~~

    再写了再写了(新建word文档)
    公众号:神隐(咸鱼)攻防实验室希望各位大佬能关注一波
    使用道具 举报 回复
    发表于 2021-2-23 12:45:08
    皮卡皮卡丘 发表于 2021-2-19 17:07
    再写了再写了(新建word文档)

    皮卡皮卡~   第九篇已经追了~
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册