在不知道靶场的ip情况下进行扫描
出现有几个ip,但是不知道哪个是的,所以就一个个试一试
namp -T4 -sV -A -O -p- 192.168.13.143
-T4 (速度) -sV (版本扫描和开启的服务) -O (操作系统) -p-(所有端口)
扫了好几个,只有一个是的,所以不是的就没有发出来了
ftp一下ip,发现有一个zip的压缩包
因为在写这个过程之前,我就打过一次了,所以就把原来的文件都替换了,这里的password直接回车就行
这里需要用到一个爆破的工具,具体怎么用的还需要自己百度下了
fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u respectmydrip.zip
这个爆破的过程需要个几分钟,密码是:
PASSWORD FOUND!!!!: pw == 072528035
将respectmydrip.zip解压为respectmydrip.txt,发现有一个 drip
访问80端口
这个时候我也是不知道怎么办,看到其他的博主的教程后,安装了这个:git clone https://github.com/maurosoria/dirsearch.git
cd dirsearch
sudo python3 -m pip install -r requirements.txt
python3 dirsearch.py -u http://192.168.13.143/
安装的过程我是用了vpn
访问它
查看了半天没有任何有效的信息,于是......,找了半天,执行下面这句话
gobuster dir -u http://192.168.13.143 -t 40 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,html,txt
结合上面的信息,访问下这个页面:http://192.168.13.143/index.php?drip=/etc/passwd
再次访问
http://192.168.13.143/index.php?drip=/etc/dripispowerful.html
查看网页源代码,发现了密码--
password is:
imdrippinbiatch
也可以登录靶场,反正有密码了
查看进程
ps -ef //查看进程命令
ps axu //同上
发现了polkitd
polkit 是一个应用程序级别的工具集,通过定义和审核权限规则,实现不同优先级进程间的通讯:控制决策集中在统一的框架之中,决定低优先级进程是否有权访问高优先级进程。
Polkit 在系统层级进行权限控制,提供了一个低优先级进程和高优先级进程进行通讯的系统。和 sudo 等程序不同,Polkit 并没有赋予进程完全的 root 权限,而是通过一个集中的策略系统进行更精细的授权。
Polkit 定义出一系列操作,例如运行 GParted, 并将用户按照群组或用户名进行划分,例如 wheel 群组用户。然后定义每个操作是否可以由某些用户执行,执行操作前是否需要一些额外的确认,例如通过输入密码确认用户是不是属于某个群组。
在github上面找到:Almorabea/Polkit-exploit: Privilege escalation with polkit - CVE-2021-3560 (github.com)
出了点小问题
所以我选择登录靶场
就很突然的能下载了
但是我还用靶场的面板了
由于靶场下载不了github的那个文件,所以我用kali的tomcat传输文件,kali要使用
sudo systemctl start apache2
在靶场中第一次先试试ip通不通,然后在加上文件名字
将文件移动到桌面,输入:
python3 CVE-2021-3560.py,会闪烁,连续点击左边的按钮,有好了
应该是这个页面,由于我已经打过一次了,用
python3 CVE-2021-3560.py好像没有用了,但是页面是这个的
点击下面的就好了,点击一次不行,就多点击两次
所以,这个和我第一次打的不一样,也不是root,但是不重要,重要的事有CVE-2021-3560.py
所以,执行
python3 CVE-2021-3560.py
好了,过程有点复杂,以为第二次打这个靶场会好点,没想到还是有点麻烦
说下需要注意的吧
用到dirsearch、gobuster、polkitd
在下载CVE-2021-3560.py的时候,出现了点小问题,所以用apache传递文件,这个时候对于新手的来说,路径找了半天才把.py放进去,下载的时候注意点就行了
下去的时候学习下dirsearch、gobuster、polkitd,增长下芝士就好了
至新手的你、我 共同进步