信息收集阶段
KALI攻击机地址:192.168.1.128
靶机地址:未知
目标:root.txt和user.txt
nmap -sn 192.168.1.0/24
![1649305292_624e66cce58aef0666802.png!small?1649305294092](https://image.3001.net/images/20220407/1649305292_624e66cce58aef0666802.png!small?1649305294092)
nmap -A -p- 192.168.1.61
![1649305295_624e66cfe5297fa7f5ce3.png!small?1649305297066](https://image.3001.net/images/20220407/1649305295_624e66cfe5297fa7f5ce3.png!small?1649305297066)
开启了22端口和80端口:
![1649305302_624e66d6340259d7f197d.png!small?1649305303407](https://image.3001.net/images/20220407/1649305302_624e66d6340259d7f197d.png!small?1649305303407)
漏洞利用阶段
查看源码!
![1649305308_624e66dc2e92e96233d7b.png!small?1649305309150](https://image.3001.net/images/20220407/1649305308_624e66dc2e92e96233d7b.png!small?1649305309150)
看这个!
Please paul, stop uploading weird .wav files using /upload_sound
这里有个目录:
http://192.168.1.61/upload_sound/
上传未开启或无!
![1649305464_624e67785b3519019b562.png!small?1649305465356](https://image.3001.net/images/20220407/1649305464_624e67785b3519019b562.png!small?1649305465356)
接着查查这个bootstrap.min.css文件:这个是css的框架文件!
![1649305471_624e677f7d3d2e9cef605.png!small?1649305472500](https://image.3001.net/images/20220407/1649305471_624e677f7d3d2e9cef605.png!small?1649305472500)
![1649305476_624e67845200a23e3c095.png!small?1649305477308](https://image.3001.net/images/20220407/1649305476_624e67845200a23e3c095.png!small?1649305477308)
http://192.168.1.61/yay/mysecretsound.wav
这里会下载一个音频文件!
内容是一段精神污染音频!
应该是音频隐写!
音频分析工具用于检查音频频谱中是否存在隐藏内容,并确定是否存在隐藏信息。
这里采用一个在线工具进行分析!你也可以用audition也行!
上传后,播放!
![1649305484_624e678c61f4b63c8f79b.png!small?1649305485347](https://image.3001.net/images/20220407/1649305484_624e678c61f4b63c8f79b.png!small?1649305485347)
密码是:dancingpassyo
这里有个密码,上面还有一个paul账户。
我们尝试通过ssh登录下看看!
![1649305492_624e6794277abe2985138.png!small?1649305493273](https://image.3001.net/images/20220407/1649305492_624e6794277abe2985138.png!small?1649305493273)
第一个flag:
cat user.txt
Ilov*******axed
权限提升阶段
查看sudo -l权限:
![1649305543_624e67c72462019497310.png!small?1649305544183](https://image.3001.net/images/20220407/1649305543_624e67c72462019497310.png!small?1649305544183)
这里可以看到paul用户对ln命令有sudo权限!
在查下Suid权限:
find / -perm -u=s 2>/dev/null
![1649305549_624e67cd917b0db842e39.png!small?1649305550620](https://image.3001.net/images/20220407/1649305549_624e67cd917b0db842e39.png!small?1649305550620)
sudo权限可用于创建从ln到bash的符号链接,然后sudo运行ln。
执行完成后,提权为系统的root用户。
sudo ln -fs /bin/sh /bin/ln
sudo ln
参数解释:
小知识:
-f, –force remove existing destination files
-s, –symbolic make symbolic links instead of hard links
![1649305556_624e67d4bf01429f398d2.png!small?1649305557780](https://image.3001.net/images/20220407/1649305556_624e67d4bf01429f398d2.png!small?1649305557780)
cat /root/root.txt
il***************ot
后记
本次文章只用于技术讨论,学习,切勿用于非法用途,用于非法用途与本人无关!
本文作者:知非安全实验室, 转载请注明来自FreeBuf.COM
请登录后查看评论内容