OSCP-PG-Born2Root

Mkd1R 2022-5-21 85 5/21

在我拿到靶机IP之后我首先使用nmap -A进行了全面扫描

每个信息对我们都至关重要,发现靶机开放了三个端口,并获得了他的版本号,随后我使用searchsploit搜索是否存在相关的版本漏洞


发现并不存在相关的服务版本漏洞,那我们就从80的web服务端口开始寻找,并在首页找到了一个电话,三个姓名,一个邮箱 052-452-990-054
Martin N
Hadi M
Jimmy S
martin@secretsec.com


下一步,使用gobuster dir -u 进行目录扫描,没过多久就已经找到了三个目录,并发现一个目录遍历


在目录遍历出泄露了一个ssh私钥文件,并且22端口是开放的,我进行了第一次尝试登陆,使用上面泄露的用户名,并使用martin登录了进去


需要将id_rsa权限修改为600,并且用户名不能为大写,进入之后找到了低权限的标志文件[local.txt]
在翻找了一段时间之后发现了一个定时文件,并写入了一个反弹shell的py文件,等待它执行

但是在之后并未找到提权的路径,随后我又把希望放在了最后一个用户hadi身上
并生成了有关hadi的密码字典使用hydra -l hadi -P pass.txt IP ssh -v 进行爆破,并且成功爆破出来了密码


ssh登录进去之后我尝试使用find / -perm /4000查找具有SUID权限的文件,发现了/bin/su的存在


随机找到了最后的标志文件[proof.txt


到此我完成了这台靶机

- THE END -

Mkd1R

7月02日21:58

最后修改:2022年7月2日
0

非特殊说明,本博所有文章均为博主原创。