当前位置: 首页 > news >正文

打靶记录29——dawn

news 来源:原创 2025/5/8 5:13:13

靶机:

https://www.vulnhub.com/entry/sunset-dawn,341/

下载(镜像):https://download.vulnhub.com/sunset/dawn.zip

难度:

目标:

  • 获得 Root 权限

攻击方法:

  • 主机发现
  • 端口扫描
  • 信息收集
  • SAMBA 漏洞
  • 任意文件上传
  • 日志信息泄露
  • 调度任务
  • 提权方法 1
  • 提权方法 2
  • 潜在提权方法

主机发现

sudo arp-scan -l 发现靶机 IP 是 192.168.31.27

端口扫描和服务发现

sudo nmap -p- 192.168.31.27

sudo nmap -p139,445,3306 -A 192.168.31.27

SAMBA 漏洞

139 和 445 端口netbios - ssn,表示该端口运行的是 NetBIOS 会话服务。NetBIOS(网络基本输入 / 输出系统)是一种用于在局域网中实现计算机之间通信和资源共享的协议,而 netbios - ssn 是 NetBIOS 会话层服务,常用于文件和打印机共享等功能。

发现可以使用 guest 账号

smbclient是一个用于访问 SMB(Server Message Block)共享的命令行工具,通常用于与 Windows 文件共享或 Samba 服务器进行交互。

smbclient -L \\\\192.168.31.27 因为可以使用 guset 账号,所以我们在它提示需要密码的时候直接回车就可以了

  • -L:是 smbclient 的一个选项,-L 表示 “list”,即列出服务器上的共享资源。
  • 使用 \ 来转义,所以是四个 \

发现 ITDEPT 这个共享值得注意

任意文件上传

smbclient \\\\192.168.31.27\\ITDEPT 发现这个文件夹是空的,可以写文件进去,但是没办法进一步利用

访问 80 端口的 Web 页面

Web页面提示:
我们需要实施的事项:
安装摄像头视频源。
更新我们的个人相关信息
安装一个控制面板。

日志信息泄露

sudo dirsearch -u http://192.168.31.27/ 进行目录扫描,发现一个 logs 的路径

只有 management 可以访问下载,打开发现是用 pspy 来进行系统进程信息的抓取

发现这个信息 /bin/sh -c /root/pspy64 > /var/www/html/logs/management.log 可以判断目录结构是 /var/www/html/

发现这个 /home/dawn/ITDEPT/ 周期性的出现,而这个目录应该就是我们前面通过 samba 服务能访问到的目录,这个目录是可写的

grep "/home/dawn/ITDEPT/" management.log 过滤一下日志文件,查看其中的关于这个目录的内容

调度任务

grep "/home/dawn/ITDEPT/" management.log | grep product-control 发现每隔一段时间,它会对这个脚本赋予 777 权限,然后就去执行这个脚本

那我们是否可以创建一个 product-control 文件,其中写入我们的反弹 shell 的恶意代码,然后上传到目标服务器上,当这个调度任务去执行这个脚本的时候,或许就能突破边界了

果然成功进来了

python -c "import pty;pty.spawn('/bin/bash')" 升级一下 shell

提权方法 1

cat .bash_history 查看命令历史,查看系统管理员对系统的操作指令,发现一串密文 $1$$bOKpT2ijO.XcGlpjgAup9/

先用 john 尝试破解一下这个密文 ,破解成功 onii-chan29

john hash --wordlist=/usr/share/wordlists/rockyou.txt

sudo -l 发现可以执行 mysql 命令

用刚刚破解出来的秘密可以成功登录 mysql

\! bash

因为是 sudo 执行的 mysql,所以就直接获得了 root ,获得了 flag

在 MySQL 命令行客户端里,以反斜杠 \ 开头的命令被称作特殊命令或者元命令。\! 就是其中一种元命令,它的作用是让你暂时离开当前的 MySQL 会话,转而在操作系统的 shell 中执行命令。当输入 \! bash 时,它会启动一个新的 bash shell 进程。

提权方法 2

find / -type f -perm -u=s -ls 2>/dev/null

。当一个可执行文件设置了 SUID 权限后,用户执行该文件时,会以文件所有者的身份来运行,而不是以执行该文件的用户自身身份运行。

发现 zsh 可以

潜在提权方法

查看 ganimedes 账号的 .bash_history,里面有 root 账号的密码

相关文章:

  • 红队视角出发的k8s敏感信息收集——持久化存储与数据泄露
  • 达梦:跟踪日志诊断
  • 备战蓝桥杯 Day2 枚举 Day3 进制转换
  • 2024 StoryDiffusion 文字/文字+图像----->视频
  • 系统不是基于UEFI的win11,硬盘格式MBR,我如何更改为GPT模式添加UEFI启动?
  • 【C++】RBTree(红黑树)模拟实现
  • 【第4章:循环神经网络(RNN)与长短时记忆网络(LSTM)— 4.4 文本分类与情感分析】
  • 【VB语言】EXCEL中VB宏的应用
  • vscode怎么更新github代码
  • 怎么理解 Spring Boot 的约定优于配置 ?
  • pg_sql关于时间的函数
  • npm运行Vue项目报错 error:0308010c:digital envelope routines::unsupported
  • 新用户冷启动阶段使用的推荐算法策略
  • 小红书图文笔记批量制作
  • C#上位机--基本数据类型
  • NoSQL数据库-体系框架
  • Android 系统Service流程
  • 使用 Python 爬虫获取微店商品详情 API 接口数据
  • 太速科技-509-U200E U250E 基于XCVU9P的4路QSFP28光纤PCIeX16收发卡
  • 2100年芜湖人的一天:张明的生活剪影
  • 印度袭击巴基斯坦已致至少3人死亡
  • 罗马尼亚临时总统博洛让任命普雷多尤为看守政府总理
  • 南方地区强降雨或致部分河流发生超警洪水,水利部部署防范
  • 《蓦然回首》:现代动画的践行与寓言
  • 缅甸国防军继续延长临时停火期限至5月31日
  • 蓝佛安主持东盟与中日韩财长和央行行长系列会议并举行多场双边会见