Open cha0s32 opened 10 months ago
扫描端口
sudo nmap -p- -n -v -sS --max-retries=0 172.16.33.30
发现开放端口21,22,80,扫描版本
sudo nmap -p21,22,80 -sV -A 172.16.33.30
扫描一下敏感目录,没发现有什么有价值的信息,除了一个robots.txt, 访问得到路径 /logs/ , nmap 已经扫出来了。
访问80端口网页,无有用信息,是一个apache 默认页面。
访问路径 /logs , 显示没有该页面。
尝试从 FTP 服务入手,尝试匿名登录,成功登录!
查看所有文件,看看有什么有价值的
可以全部下载下来解压查看,由于 tom.zip 权限跟其他zip权限不同,可以重点关注一下。同时查看一了一下.@users 和.@admins两个文件
tom.zip
zip
.@users
.@admins
直接解压发现需要密码,使用john工具进行暴破解压。
john
zip2john tom.zip > tom.hash # 提取zip文件哈希 cp /usr/share/wordlists/rockyou.txt . sudo john tom.hash --wordlist=rockyou.txt
暴破出密码后,用密码解压,得到私钥 id_rsa
id_rsa
使用私钥登录服务器
ssh -i id_rsa john@172.16.33.30
看看根目录下有什么文件,看到很多history 文件,查看一下,发现mysql_history文件有密码。
history
mysql_history
登录成功,查看一下权限,没有 root 权限。尝试使用sudo -s 提权,输入刚才得到的密码,成功提权。
sudo -s
尝试进入 /root 拿flag,发现 是有限制的 shell,要尝试绕过。
/root
echo $SHELL
发现是/bin/rbash
/bin/rbash
尝试可不可以换shell , 使用bash 或着 sh,成功绕过。
bash
sh
信息收集阶段
扫描端口
发现开放端口21,22,80,扫描版本
扫描一下敏感目录,没发现有什么有价值的信息,除了一个robots.txt, 访问得到路径 /logs/ , nmap 已经扫出来了。
利用漏洞拿Shell
访问80端口网页,无有用信息,是一个apache 默认页面。
访问路径 /logs , 显示没有该页面。
尝试从 FTP 服务入手,尝试匿名登录,成功登录!
查看所有文件,看看有什么有价值的
可以全部下载下来解压查看,由于
tom.zip
权限跟其他zip
权限不同,可以重点关注一下。同时查看一了一下.@users
和.@admins
两个文件直接解压发现需要密码,使用
john
工具进行暴破解压。暴破出密码后,用密码解压,得到私钥
id_rsa
使用私钥登录服务器
看看根目录下有什么文件,看到很多
history
文件,查看一下,发现mysql_history
文件有密码。登录成功,查看一下权限,没有 root 权限。尝试使用
sudo -s
提权,输入刚才得到的密码,成功提权。绕过rbash
尝试进入
/root
拿flag,发现 是有限制的 shell,要尝试绕过。发现是
/bin/rbash
尝试可不可以换shell , 使用
bash
或着sh
,成功绕过。