https://download.vulnhub.com/sunset/dawn.zip
难度 中
目标 root权限 1个flag
基于virtualbox启动
kali 192.168.86.105 靶机 192.168.86.110
信息收集
端口扫描
看到开放了139和445也就是smb服务,一般这种服务在Windows上开启的多,有名的ms17010就是这两个端口的漏洞,但是Linux没有这种漏洞。
不过smb的本身是用来文件共享的,可能是存在文件共享的利用方式
查看前面的端口扫描结果,有这么一个结果
| smb-security-mode:
| account_used: guest
| authentication_level: user
| challenge_response: supported
|_ message_signing: disabled (dangerous, but default)
经过搜索
account_used: guest
这意味着SMB服务使用的是“guest”账户。在SMB协议中,可以使用“guest”账户进行匿名访问,通常不需要密码。这可能表明SMB服务允许未经身份验证的访问,这可能带来安全风险。
说明可能可以使用guest进行访问
首先需要获取可访问的共享文件目录
kali中使用smbclient来进行操作
print$,IPC$是打印机和默认的共享服务,没什么用,关注ITDEPT目录
但是进去后什么东西都没有
不过倒是可以上传文件,估计其他地方需要这里进行配合
3306先不考虑弱口令的爆破,先测80端口
web测试
访问主页提示网站还在建设
使用dirsearch先扫一下目录,发现一个logs目录
访问
只有 management.log 可以访问下载,其他都是403,不过下载了后里面并没有记录的日志
需要重启一下靶机,我这里重启了就有日志了。。。
可以使用wget下载
通过查看日志,观察发现系统疑似在循环执行一些ITDEPT下的脚本,但是之前通过smb并没有发现存在什么脚本。
那么是否可以我们上传这个名字的脚本上去伪造它
突破边界
先在本地创建一个用来反弹shell的脚本
再次使用smbclient连接进行上传
先在本地生成两个后门文件
然后使用put将文件上传
在开个shell进行nc监听
成功接收到shell会话
提权
升级交互式设立
python3 -c 'import pty;pty.spawn("/bin/bash")' 方式一
当前获取到的shell是dawn用户
查看passwd和home目录发现还存在一个用户ganimedes
进入dawn目录看是否有什么信息
翻看history看是否可以得到什么有用的信息
发现.bash_history中存在加密的密码
使用在线解密网站发现可以解但是要钱。。。
另一个mysql_history没有其他有用的东西了
另外dawn可以使用mysql的sudo
尝试登录mysql但是提示需要密码
看来上面的那个密码比较关键,只能尝试本地爆破了
使用john需要现将密文修改为hash的格式,也就是shadow中保存的格式然后去爆破
比如 dawn:$1$$bOKpT2ijO.XcGlpjgAup9/:19590:0:99999:7:::
然后使用rock.txt字典去跑
可以解得onii-chan29
再次拿着这个密码去试mysql成功登录
还记得mysql_history中的记录是\! sh 这其实是一种MariaDB命令行逃逸 ,前提是需要开启一些选项,所以条件也比较苛刻的
那么这里我们可以直接\! /bin/bash 切换到root级的shell
方式二
使用suid提权
find / -user root -perm /4000 2>/dev/null
zsh存在可以提权的方式
euid=0说明当前进程以root权限运行,所以属于拥有root权限可以查看flag
总结
第一次遇到考smb的点,另外\! 这样的命令逃逸方式我也是第一次遇到,很有收获。
扫一扫
712
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
