本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站,需要发现目标靶机的IP地址,可以使用nmap,netdiscover,或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的,那么本次演示就是arp-scan工具发现
地址:https://www.vulnhub.com/entry/solidstate-1,261/
sudo nmap -sS -sV -sC -A -p- 192.168.226.130 -o solidstate.nmap
nmap扫描结果
根据扫描结果显示,开放的4555端口存在远程命令执行漏洞,对应的exp https://www.exploit-db.com/exploits/35513 首先常规的访问下80端口,然后使用爆破下目录
没有扫到有价值的信息,那么直接看看有漏洞的4555端口
根据帮助信息可以列用户,重置密码等操作,那么开搞
列出了所有用户,然后直接重置密码为bmfx,方便后面的邮箱登录查看邮件等下信息,下面依次查看每个用户的邮件信息
只看到john用户有一封邮件,但是没看到有用的信息,继续
查看用户mindy的时候发现两封邮件,收获重要信息,含有用户mindy的ssh登录密码,直接在kali上直接ssh连接登录看看
发现是个受限的shell,很多基础的命令执行不了,通过下面方式绕过
ssh 192.168.226.130 -l mindy "export TERM=xterm; python -c 'import pty; pty.spawn("/bin/sh")'"
这里还可以通过 https://www.exploit-db.com/exploits/35513 进行绕过,我就在kali本地找到此exp
修改上述标记的payload为本地kali的IP地址和nc监听的端口即可
最终上述通过对应的exp直接反弹shell成功
根据前面的邮件提示信息,获得ssh的登录凭证是从James那里获取的,所以看看对应用户的进程运行情况
有个Python程序,权限是谁都能篡改,而且隶属于root权限,那么将其更改程序执行命令的提权代码即可
反弹shell成功,拿到root权限
