继续上次的靶机渗透。既然是渗透,没有拿到root权限,完全控制靶机,那么渗透就是不成功的。
先一个对比图,第一幅图是昨天卡壳的地方,第二幅图是我今天敲开1974端口的结果。
我是怎么做到的呢?思路与之前的一样:模仿eric(邮箱是eric@madisonhotels.om)给vvaughn(邮箱是vvaughn@polyfector.edu)发一个邮件,邮件内容必须有一句话:My kid will be a soccer player。之前的方式为什么失败呢?可能之前是用手工敲字的方式发邮件,邮件未能发送成功,隐藏端口也就无法打开了。这次用了kali自带的smtp小工具-swaks,号称是SMTP界的瑞士军刀,感兴趣的同好可以自行了解一下。打开了1974端口是不是很开心?!
端口打开了,终于可以成功登陆啦!我太南南南啦!那么就用之前的账号登录吧,eric/triscuit*,登录后再查找一些新线索吧。
无法直接提权,那么我们找下suid试试吧。发现donpcgd是root和eric组存在的SUID文件,详见下图。后面的工作看似与之前的靶机渗透有些相似:构造一个空文件,将donpcgd指向它,然后......,百言不如贴图,直接上图。
上图中所使用的脚本如下:
1.touch /tmp/test
2./usr/local/share/sgml/donpcgd /tmp/test /etc/cron.hourly/test
3.echo -e '#!/bin/bash\n echo "eric ALL=(ALL) NOPASSWORD:ALL" >> /etc/sudoers' > /etc/cron.hourly/test
4.chmod +x /etc/cron.hourly/test
5.cat /etc/chron.hourly/test
按照这个思路继续渗透,待donpcgd脚本自动跑了一遍后就能成功提权rtoot。但是,我的脚本在运行过程中出了点意外状况。
这台靶机逻辑性比较强,我完全就是跟着作者的意思走,渗透过程步步为营,环环相扣。感谢大家的关注。
