出品|MS08067实验室(www.ms08067.com)
Kali:192.168.10.102
MyFileServer:192.168.10.106
通过arp-scan来发现靶机的IP地址
sudo arp-scan --interface eth0 192.168.10.1/24用namp来扫描靶机的TCP端口和UDP端口开放情况
# --min-rate:发包的最小速率# -sT,-sU:采用TCP、UDP扫描# --top-ports [number]:扫描常用的端口sudo nmap -sT --min-rate 10000 -p- 192.168.10.106 -oA nmap_result/portssudo nmap -sU --top-ports 20 192.168.10.106 -oA nmap_result/udp
对扫出来的TCP端口进行做详细的扫描,对刚刚的扫描报告内容进行提取
# grep 抓取包含Open字样行的内容# awk -F '/' :-F是分隔符,通过/来进行划分打印输出分组1的内容即端口号# paste -sd ',':-s 表示串行合并,-d ','表示用,进行分割grep open nmap_result/ports.nmap | awk -F '/' '{print $1}'| paste -sd ','
对这些TCP端口进行常规的漏洞扫描以及详细信息扫描
通过扫描结果可以看到ftp可以进行匿名登陆
登陆FTP搜集可用信息
binary尝试下载发现很多文件都无法下载,下载来的cron里面也没什么有用的信息
还有一个2121端口也是ftp也登陆看看有没有有用的信息
依旧是权限不足无法下载
手动尝试下常见的文件
http://192.168.10.106/readme.txthttp://192.168.10.106/robots.txt
得到密码:rootroot1,但是账号不知道
用gobuster来遍历下目录
gobuster dir -u http://192.168.10.106/ -x txt,rar,zip,tar,sql,php -w/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt
gobuster也没扫出什么有用的信息
靶机还开放了smb服务,尝试从smb中寻找突破口
smbmap -H 192.168.10.106可以看到其中的smbdata有可读可写的权限
根据我们之前发现的信息,尝试 账号:smbdata 密码:rootroot1 可以成功登陆
sudo smbclient //192.168.10.106/smbdata分别下载了 messages、secure、sshd_configmessages中没有什么可用信息
sshd_config中发现靶机仅仅支持证书登陆,不允许密码登陆
现在我们有2个账号2个密码
账号:smbdata、smbuser密码:rootroot1,chauthtok
尝试smbuser:chauthtok登陆ftp发现错误
尝试ftp碰撞发现smbuser:rootroot1也可以登陆ftp
发现smbuser的ftp目录是家目录
结合之前ssh_config的配置信息,我们可以上传自己的一个证书来达到通过smbuser来登陆ssh
sudo ssh-keygen在kali上生成一个证书
然后通过ftp将公钥证书上传上去
然后ssh通过证书登陆smbuser
# --min-rate:发包的最小速率# -sT,-sU:采用TCP、UDP扫描# --top-ports [number]:扫描常用的端口sudo nmap -sT --min-rate 10000 -p- 192.168.10.106 -oA nmap_result/portssudo nmap -sU --top-ports 20 192.168.10.106 -oA nmap_result/udp0
查看下 smbuser的sudo权限
# --min-rate:发包的最小速率# -sT,-sU:采用TCP、UDP扫描# --top-ports [number]:扫描常用的端口sudo nmap -sT --min-rate 10000 -p- 192.168.10.106 -oA nmap_result/portssudo nmap -sU --top-ports 20 192.168.10.106 -oA nmap_result/udp1
找下拥有SUID的文件(PS:SUID文件是当文件运行时,会以文件拥有者的权限运行而不是当前用户的权限,要给一个文件设置SUID可以通过 chmod u+s filename设置)
# --min-rate:发包的最小速率# -sT,-sU:采用TCP、UDP扫描# --top-ports [number]:扫描常用的端口sudo nmap -sT --min-rate 10000 -p- 192.168.10.106 -oA nmap_result/portssudo nmap -sU --top-ports 20 192.168.10.106 -oA nmap_result/udp2
查看下有没有定时任务
查看内核版本
通过上面的信息发现并没有什么可用的信息,但是系统的内核版本比较低可以尝试使用脏牛进行提权尝试用systemd-run打开一个shell,发现失败
# --min-rate:发包的最小速率# -sT,-sU:采用TCP、UDP扫描# --top-ports [number]:扫描常用的端口sudo nmap -sT --min-rate 10000 -p- 192.168.10.106 -oA nmap_result/portssudo nmap -sU --top-ports 20 192.168.10.106 -oA nmap_result/udp3
完善下shell
# --min-rate:发包的最小速率# -sT,-sU:采用TCP、UDP扫描# --top-ports [number]:扫描常用的端口sudo nmap -sT --min-rate 10000 -p- 192.168.10.106 -oA nmap_result/portssudo nmap -sU --top-ports 20 192.168.10.106 -oA nmap_result/udp4
通过searchsploit查询可用的提权EXP
# --min-rate:发包的最小速率# -sT,-sU:采用TCP、UDP扫描# --top-ports [number]:扫描常用的端口sudo nmap -sT --min-rate 10000 -p- 192.168.10.106 -oA nmap_result/portssudo nmap -sU --top-ports 20 192.168.10.106 -oA nmap_result/udp5
尝试下42887.C
# --min-rate:发包的最小速率# -sT,-sU:采用TCP、UDP扫描# --top-ports [number]:扫描常用的端口sudo nmap -sT --min-rate 10000 -p- 192.168.10.106 -oA nmap_result/portssudo nmap -sU --top-ports 20 192.168.10.106 -oA nmap_result/udp6
缺少rootshell.h,换个exp尝试
尝试下15962.C
尝试33516.c,发现可以成功生成
通过php开启临时http服务,然后靶机用wget下载,但是运行报错
这里尝试使用linpeas.sh
(https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas.sh)来给我们提权提供建议
同样的方式下载到靶机
因为输出的内容过多,我们通过more命令来进行逐页查看
# --min-rate:发包的最小速率# -sT,-sU:采用TCP、UDP扫描# --top-ports [number]:扫描常用的端口sudo nmap -sT --min-rate 10000 -p- 192.168.10.106 -oA nmap_result/portssudo nmap -sU --top-ports 20 192.168.10.106 -oA nmap_result/udp7
根据信息可以看出CVE-2016-5195和CVE-2016-5195可能性最高,我们就尝试这2个EXPCVE-2016-5195失败
CVE-2016-5195失败
到网上查询了别人是用40616成功提权的
# --min-rate:发包的最小速率# -sT,-sU:采用TCP、UDP扫描# --top-ports [number]:扫描常用的端口sudo nmap -sT --min-rate 10000 -p- 192.168.10.106 -oA nmap_result/portssudo nmap -sU --top-ports 20 192.168.10.106 -oA nmap_result/udp8
然后还是在Kali中编译好上传到靶机
但是在靶机上运行还是有问题
后来才明白要在靶机上进行编译然后运行才能提权成功(算踩了一次坑吧)
# --min-rate:发包的最小速率# -sT,-sU:采用TCP、UDP扫描# --top-ports [number]:扫描常用的端口sudo nmap -sT --min-rate 10000 -p- 192.168.10.106 -oA nmap_result/portssudo nmap -sU --top-ports 20 192.168.10.106 -oA nmap_result/udp9
— 实验室旗下直播培训课程 —
和20000+位同学加入MS08067一起学习
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...