SUNSET_DECOY靶机复盘
这个靶机还是有点难度的,尤其在提权时候,毫无思路。
下载地址:https://download.vulnhub.com/sunset/decoy.ova
首先扫描IP,打开网站,这个靶机我是没有扫描目录的,因为没给我机会扫描,一步一步就登进shell了。
主页面就是一个压缩包,这个有点类似CTF,猜谜语走下一步。
下载到kali中后,我尝试解压,但是发现有密码。
就提取了一下hash,放到了tmp文件中。
这样就可以直接用john工具破解密码了,我指定了一个自定,不指定应该也是可以的
直接john tmp就可以了
密码:manuel
解压出一个etc文件,其实当看到这的时候我就知道shell要到手了。
在这里面有两个文件一个是passwd是存放用户账户信息的地方,但是这个地方不真正存放用户的密码。
还有一个文件是shadow文件,这个文件是真正存放用户密码的文件,但是密码是密文,我们可以暴力破解的。
这里面有同一个普通用户,用户名很长。。。。。。
cat passwd
cat shadow
我们把用户名单独保存到一个pass文件中去,然后hohn暴力破解一下,密码很快就出来了。
这里我研究了很久,最后还是看的题解,如果不加-t选项进入的bash是一个只读的bash,很多功能都不能用,-t后面可以运行一个新的,纯净的bash。
进去以后环境变量只有当前目录,我们把应该有的目录加进去,就可以用别的命令了。
ssh 296640a3b825115a47b68fc44501c828@192.168.102.177 -t "bash --noprofile"
在家目录下有一个honeypot.decoy的执行文件,我们执行以下,发现除了第五个都没啥特殊的,并且第五个在扫描的时候我们不知道它运行了什么。
并且不是马上运行,是一分钟内运行,这就给了我们监测它的机会。
pspy64可以监测和记录系统中正在运行的进程的活动。
pspy64下载:https://github.com/DominicBreuker/pspy/releases/download/v1.2.1/pspy64
./pspy64
发现检测到系统在执行一个chkrootkit的文件,我就去百度搜了以下这个文件,百度上说这个文件有本地提权漏洞了。
来kali中搜索一下有没有poc,发现一个对应版本的txt文件,我就下载来看了看,这个txt中对这个漏洞有一个说明。
就是这个文件在运行的时候会自动运行/tmp下的update文件,检测是否需要升级,这时候我们就可以自己在/tmp下新建一个update文件来提权。
这时候我们自己创建一个update文件,并赋予权限。
kali上监听一下再运行第五个扫描就可以拿到root权限了。
