1、靶机介绍
这次的靶机是SolidState,难度为Medium。
2、信息收集
常规操作起手python autorecon.py慢慢信息收集。这里扫到邮箱端口有1个HTTP,还有一个奇奇怪怪的JAMES。
80端口起码是个比较正常的网页。
3、利用弱口令登录4555端口
去到4555端口感觉有点奇怪,都不给我输入东西直接login failed。
那么我改成万能的nc,一开始用adminadmin卒,换成双root成功。
可以用Help查看命令。
这里我用Listuser可以列出当前的用户,可以理解为用弱口令登录超级管理员。
这里顺便根据名字查了以下有个py脚本可利用。
打开以后要注意这个py脚本是2014年的要自动把python环境降为py2,顺便把payload改为一句话等下会用。
4、登录邮箱端口探查信息
成为root后直接把所有密码设置为123456。
此时用我们的nc连接邮箱端口,110用刚才的一堆用户配合密码123456逐个查看。
去到John邮箱看到他老板给他个任务限制新员工mindy的权限。
去到Mindy邮箱有2封信。
第一个是欢迎:
第二封直接拿到个账号结合前面john老板的语气,应该是ssh端口作为突破点。
登录成功
不过这个rbash肯定是个限制shell。
不过可以绕过。
5、绕过限制shell
目前这个shell属实折磨cd都做不了,没办法只好利用刚才的py脚本,这里要删掉目前窗口重新登录一次,提前开启nc,然后在python2环境下Python 35513.py。
记得重新登录一次提前开启nc,成功接收逃离shell。
6、提权
这里提权属实大E了,理解错误。我们先用psaux |grep james 人名来检查一波各种打工人的权限。
去到james那里发现一个run.sh奇奇怪怪先去到/opt
去到/opt的时候发现一个tmp.py居然是3个rwx=chmod 777。
谁都可以编辑而且是root权限,看了一波脚本内容。经过后面的实验就是每隔几分钟会删除/tmp里面所有内容。
因为是777权限也就是说任何人都能执行这个tmp.py脚本。
很容易就会想到插入一句话反弹。但要注意一个问题。目前root是隔几分钟就会运行tmp.py去删除/tmp目录下的内容,而我作为mindy用户也可以直接python起手直接删了/tmp目录里面的内容。
但不同的点在于一个是mindy,一个是root。假如说我们插入python反弹shell进入tmp.py以后直接运行是以mindy用户运行反弹文件。那接收的shell也是mindy的。不会直接越级,而只有当root运行反弹python脚本以后,接收过来的才是root权限。
所以我们先传一个改好的tmp.py脚本上去
去到tmp目录下把它传过来以后cp过去
最后啥也不做直接开nc慢慢等shell回来就能变root了。
今天的内容分享,大家看懂了吗?
Original: https://www.cnblogs.com/ichunqiu/p/15924037.html
Author: i春秋
Title: HTB靶场记录之SolidState
原创文章受到原创版权保护。转载请注明出处:https://www.johngo689.com/551923/
转载文章受原作者版权保护。转载请注明原作者出处!