TheHackersLabs Sedition writeup
信息收集arp-scan
nmap
获取userflag
从nmap扫描的结果来看,目标主机开放了smb服务,然后ssh服务部署在了65535号端口上,先用smbmap看一下目标smb服务共享了哪些目录,以及相应的权限
smbmap -H 192.168.43.29
有一个backup目录,是只读权限的,通过mount将它挂载到本地
mount -t cifs //192.168.43.29/backup /mnt/backup是没有设置密码的,所以直接回车就好了
有一个zip文件,将它cp出来,然后尝试解压
发现需要输出密码,这里让GPT写一个爆破脚本即可
拿到密码后去解压那个zip文件,解压后会得到一个password文件
这应该是一个用户的密码,但是现在我们不知道它是哪个用户的,这里可以通过kali中的 enum4linux 工具来枚举,这个工具能快速枚举出windows/linux上与SMB服务有关的信息
enum4linux -r 192.168.43.29
# -r:通过rid来枚举用户
这里枚举出了两个用户,上面那个password是cowboy用户的,ssh上去
并没有发现userflag,那么userflag应该是在debian用户里了,但发现这里.bash_history文件是保留的,history看一下
这个 mariadb 可以直接理解为是mysql,这里就反应了目标是起了mysql服务的,连接上去后在数据库里就可以找到debian的密码
当然这样直接输入是不行的,得先md5解密一下,可以去这个网站:https://crackstation.net/
或者直接通过 john 跑:
echo 7c6a180b36896a0a8c02787eeafb0e4c > test
john test --wordlist=/root/dict/rockyou.txt --format=raw-md5
然后su切过去,在家目录里就可以拿到userflag了
userflag:a0a5588557dea7813c3d4631d8c6371d(MD5之后)
获取rootFlag
sudo -l 看一下
可以通过sed来提权(直接去GTFobins上找利用方案)
sudo sed -n '1e exec /bin/bash 1>&0' /etc/hosts
rootflag:2b8d10588b4d8702536df00bd7106782(MD5之后)
来源:程序园用户自行投稿发布,如果侵权,请联系站长删除
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
页:
[1]