信息收集
arp-scan
nmap
获取userFlag
上web看一下
大致意思是有敏感文件暴露了,根据这一信息我首先想到的是去做目录扫描,但是什么都没有发现,之后又试了tcpdump,抓包均没有得到有用的信息。之前我们nmap扫描的时候扫的是tcp端口,所以这里可以去扫一下udp端口。在我之前遇到的靶机中,udp端口都可以通过- nmap -v -sU -T5 192.168.43.90
- nmap -v -sU --top-port 20 192.168.43.90
这里需要重点关注的就是tftp服务,关于这一点我们可以这样来验证,通过同样的方式扫描本机:
我自己的kali上是没有tftp服务的,所以这里就直接是close的,而靶机上的是 open|filtered,这很可能就表示目标是开启了tftp服务的。后续的思路就是先连上去看看:
通过help可以查看帮助文档,随便get一个文件,发现返回“File not found”而不是直接卡住,这一点就说明目标确实是开启了tftp服务的。由于tftp是简单文件服务,即它是没有提供文件遍历的功能的,所以我们无法通过tftp终端来列出服务器上的文件,这里我先get index.html了一下,因为我想确认这个目录是不是就是/var/www/html
看来并不是,所以后续的思路就是爆破文件了,这里可以使用msf中的tftp brute模块来实现
可以先 search tftp,然后就能找到这个模块了
进去后先看一下需要配置哪些选项,这里只用配置一个rhosts,配置好后run即可
发现它找到了一个 backup-config 文件,把该文件down下来
发现是一个zip文件,unzip一下
然后就能得到一个私钥和一个ssh的服务器配置文件,通过私钥得到的公钥中无法看出该私钥是哪个用户的,所属用户可以在sshd_config中找到
ssh上去,然后在家目录中拿到userflag
userflag:1c539f920aa59947f4ffa073cffdc370
获取rootFlag
sudo -l 看一下
可以执行html2text,-help看一下帮助文档
-o选项可以将输出重定向到文件,那么这里可能就存在一个任意文件覆盖,先测试一下
果然是可以实现的,那么这里我的思路是直接覆盖sudoers文件,使boris用户可以以任意用户的身份执行任意命令,payload如下:- echo 'boris ALL=(ALL) NOPASSWD:ALL' | sudo -u root html2text -o /etc/sudoers
已经写成功了
这样就拿到root shell了
rootflag:16bd055a9f14c19d865ebfdcaa22298b
来源:程序园用户自行投稿发布,如果侵权,请联系站长删除
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
