目录
1. 侦查
1.1 收集目标网络信息:IP地址
1.2 主动扫描:扫描IP地址段
1.3 搜索目标网站
2. 初始访问
2.1 利用面向公众的应用
3. 权限提升
3.1 有效账户:本地账户
3.2 滥用特权控制机制:Sudo和Sudo缓存
靶场下载地址:https://www.vulnhub.com/entry/icmp-1,633/
1. 侦查
1.1 收集目标网络信息:IP地址
靶机启动后,没有提供IP地址。由于Kali和靶机在同一个C段,可以扫描ARP协议获取靶机IP地址。
1.2 主动扫描:扫描IP地址段
对靶机进行全端口扫描、服务扫描、版本扫描,发现22/SSH、80/HTTP。
1.3 搜索目标网站
访问80端口,发现是1.7.6m版本的Monitorr应用。
2. 初始访问
2.1 利用面向公众的应用
使用searchsploit发现1.7.6m版本的Monitorr存在文件上传漏洞,可上传反弹shell并执行。
最终获得www-data用户权限。
3. 权限提升
3.1 有效账户:本地账户
在fox用户的家目录/home/fox/下,reminder文件提示存在crypt.php文件,但在服务器中并未find到。
大胆猜测crypt.php文件在fox用户家目录下的devel目录内,因为www-data用户在devel目录的权限是--x,无法ls查看devel目录内有什么文件。
不过如果知道devel目录内的文件名,还是可以正常对文件进行rwx操作的。
使用stat或ls确认devel目录内存在crypt.php文件,权限是r--,内含一串字符,可用于ssh登录fox用户,最终获得fox用户权限。
3.2 滥用特权控制机制:Sudo和Sudo缓存
fox用户可以使用root用户的权限执行 hping3 --icmp * 命令,该命令可用于提权,以root用户权限查看任意文件。
查看 /etc/shaodow 文件,获得root用户的ssh密码密文,但无法解密。 查看 /root/.ssh/id_rsa 文件,获得root用户的ssh私钥,可以ssh登录root用户。
最终获得root用户权限。
