vulnyx Beginner writeup
信息收集arp-scan
nmap
https://img2024.cnblogs.com/blog/3623778/202507/3623778-20250708164909309-401300074.png
获取userFlag
上web看一下
大致意思是有敏感文件暴露了,根据这一信息我首先想到的是去做目录扫描,但是什么都没有发现,之后又试了tcpdump,抓包均没有得到有用的信息。之前我们nmap扫描的时候扫的是tcp端口,所以这里可以去扫一下udp端口。在我之前遇到的靶机中,udp端口都可以通过
nmap -v -sU -T5 192.168.43.90来确定哪些是可能可以利用的服务(多扫几次,找到固定的端口号),但在这个靶机中不行,这个靶机中可以通过指定扫描前20个udp端口来发现可以利用的东西,命令如下:
nmap -v -sU --top-port 20 192.168.43.90
这里需要重点关注的就是tftp服务,关于这一点我们可以这样来验证,通过同样的方式扫描本机:
https://img2024.cnblogs.com/blog/3623778/202507/3623778-20250708165708159-537040906.png
我自己的kali上是没有tftp服务的,所以这里就直接是close的,而靶机上的是 open|filtered,这很可能就表示目标是开启了tftp服务的。后续的思路就是先连上去看看:
tftp 192.168.43.90
通过help可以查看帮助文档,随便get一个文件,发现返回“File not found”而不是直接卡住,这一点就说明目标确实是开启了tftp服务的。由于tftp是简单文件服务,即它是没有提供文件遍历的功能的,所以我们无法通过tftp终端来列出服务器上的文件,这里我先get index.html了一下,因为我想确认这个目录是不是就是/var/www/html
看来并不是,所以后续的思路就是爆破文件了,这里可以使用msf中的tftp brute模块来实现
可以先 search tftp,然后就能找到这个模块了
进去后先看一下需要配置哪些选项,这里只用配置一个rhosts,配置好后run即可
发现它找到了一个 backup-config 文件,把该文件down下来
发现是一个zip文件,unzip一下
然后就能得到一个私钥和一个ssh的服务器配置文件,通过私钥得到的公钥中无法看出该私钥是哪个用户的,所属用户可以在sshd_config中找到
ssh上去,然后在家目录中拿到userflag
userflag:1c539f920aa59947f4ffa073cffdc370
获取rootFlag
sudo -l 看一下
可以执行html2text,-help看一下帮助文档
-o选项可以将输出重定向到文件,那么这里可能就存在一个任意文件覆盖,先测试一下
果然是可以实现的,那么这里我的思路是直接覆盖sudoers文件,使boris用户可以以任意用户的身份执行任意命令,payload如下:
echo 'boris ALL=(ALL) NOPASSWD:ALL' | sudo -u root html2text -o /etc/sudoers
已经写成功了
这样就拿到root shell了
rootflag:16bd055a9f14c19d865ebfdcaa22298b
来源:程序园用户自行投稿发布,如果侵权,请联系站长删除
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! 感谢分享,下载保存了,貌似很强大 谢谢分享,试用一下 喜欢鼓捣这些软件,现在用得少,谢谢分享! 鼓励转贴优秀软件安全工具和文档! 感谢,下载保存了 谢谢楼主提供! 过来提前占个楼 谢谢分享,试用一下 感谢,下载保存了 东西不错很实用谢谢分享 收藏一下 不知道什么时候能用到 收藏一下 不知道什么时候能用到 懂技术并乐意极积无私分享的人越来越少。珍惜 感谢分享,学习下。 用心讨论,共获提升! 谢谢分享,试用一下 感谢分享 用心讨论,共获提升! 懂技术并乐意极积无私分享的人越来越少。珍惜
页:
[1]
2