Sunset-dawn
#渗透测试#Vulnhub 2023-03-19

信息收集

netdiscover 网络扫描工具
netdiscover -i eth0 -r 192.168.119.0/24
image.png
发现靶机IP 192.168.119.160
** nmap -A -p1-65535 192.168.119.160 **
image.png
托管Apache httpd服务的端口80,打开了端口139,445,3306
这告诉我们,NetBIOS 和 MySQL 服务分别在目标计算机上运行
开了80端口先看80
提示错误 网站正在建设中 。
image.png

dirb 目录扫描

image.png
发了一个logs目录
http://192.168.119.160/logs/
发现4个日志文件
image.png
其他三个提示错误
image.png
只有最后一个日志文件可以打开
image.png

enum4linux扫描

做所有简单枚举(-U -S -G -P -r -o -n -i)
enum4linux -a 192.168.119.160
找到 smb服务 有共享目录
在前面的扫描也发现了smb文件共享服务尝试连接一下
image.png
smbclient -L //192.168.119.160
image.png
连接一下ITDEPT 目录
发现两个文件 ,看看能不能尝试替换这两个文件进行shell

image.png
使用 echo 命令在这些文件中输入了 nc shell 调用脚本
也可以使用vim等进行编写
image.png
上传 成功
image.png

nc 连接shell

切换到bash 界面
python -c ‘import pty;pty.spawn(“/bin/bash”)’
image.png
查看有用信息
sudo -l
root 可以执行的有一个mysql文件
image.png
history
有用的信息很多
看见了切换到一个root只有有一个zsh 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
history
    1  echo "$1$$bOKpT2ijO.XcGlpjgAup9/"
    2  ls 
    3  ls -la 
    4  nano .bash_history 
    5  echo "$1$$bOKpT2ijO.XcGlpjgAup9/"
    6  nano .bash_history 
    7  echo "$1$$bOKpT2ijO.XcGlpjgAup9/"
    8  sudo -l 
    9  su 
   10  sudo -l 
   11  sudo mysql -u root -p 
   12  ls -la 
   13  nano .bash_history 
   14  exit 
   15  sudo -l 
   16  exit 
   17  ls
   18  ./view-product 
   19  ls -la 
   20  cd /dev/dawn/
   21  ls
   22  echo '#!/bin/bash' > specimen
   23  ls -la 
   24  echo '#!/bin/bash' > specimens
   25  exit
   26  id
   27  ls -la 
   28  exit
   29  cd /dev/
   30  ls
   31  cd dawn/
   32  ls
   33  ./specimen 
   34  exit
   35  su root 
   36  ls -la 
   37  ./view-product 
   38  exit
   39  id
   40  exit
   41  ls -la 
   42  ./view-product 
   43  exit
   44  ./view-product 
   45  exit
   46  ls -la 
   47  ./view-product 
   48  exit
   49  ./view-product 
   50  exit
   51  ls -la 
   52  ./view 
   53  ./view-product  
   54  ls -la 
   55  exit
   56  ./view-product 
   57  exit
   58  ls
   59  ./view-product 
   60  ls -la 
   61  id
   62  zsh
   63  ./view-product 
   64  exit
   65  ./view-product 
   66  ls -la 
   67  exit
   68  ls -la 
   69  exit
   70  ls -la    
   71  ./view-product
   72  ls -la 
   73  exit
   74  ./view-product
   75  chmod +x view-product
   76  exit
   77  ./view-product 
   78  su root
   79  su root 
   80  ./view-product 
   81  su - root
   82  cd
   83  su 
   84  cd /tmp
   85  ls
   86  ./view-product w
   87  rm view-product view-product.cpp 
   88  su root
   89  exit
   90  zsh 
   91  sudo -l 
   92  cat .bash_history 
   93  cd /tmp 
   94  ls -la 
   95  su 
   96  cd /dev/dawn/
   97  ls
   98  echo '#!/bin/bash' > specimen 
   99  echo '/bin/bash' >> specimen 
  100  chmod +x specimen 
  101  cd /tmp
  102  ls
  103  ./view-product 
  104  exit
  105  cd gaminedes
  106  cd ../gaminedes 
  107  cd ..
  108  ls 
  109  cd ganimedes/
  110  ls 
  111  ls -la 
  112  su gaminedes 
  113  su ganimedes 
  114  cat .bash_history  
  115  cd
  116  nano .bash_history 
  117  exit
  118  ls 
  119  cd ITDEPT/
  120  ls
  121  ls -la 
  122  exit
  123  cd /tmp 
  124  ls -la 
  125  ls
  126  cd
  127  ls
  128  sudo -l
  129  hisotry
  130  history

提权

find 查找 试一下
查找拥有suid权限的命令
find / -perm -40002>/dev/null
image.png
查找到zsh
image.png
mysql 没有密码进入不了
image.png
其他也全都要密码
进入cd /home/ganimedes
找到.bash_history 文件可以找到root 密码
image.png
image.png