nightfall
0x00 信息收集
arp-scan发现主机
靶机的ip为192.168.106.134
nmap扫描
80端口是一个apache的页面
使用enum4linux,收集到smb信息
将得到的两个用户放在User.txt中
使用hydra**得到ftp的用户密码为matt/cheese
使用这个账号密码登录ftp
可以猜到这是在/home/matt目录下
0x01 上传ssh公钥
通过SSH 使用**登录并禁止口令登录实践 这篇文章,猜测可以上传一个公钥到靶机上,实现ssh免密登录
首先,在kali生成自己的公私钥对ssh-******
公私钥对保存在/home/root/.ssh/目录中id_rsa是私钥,id_rsa.pub是公钥
通过ftp将公钥放在matt用户的 .ssh/authorized_keys 文件中
然后这时就可以用ssh登录了
0x02 提权为nightfall
查找系统中具有s权限的文件find / -perm -u=s -type f 2>/dev/null
用ls -l /scripts/find 查看find
可以看到这是属于nightfall的
利用suid执行时可以获取文件所有者权限的特性,获得nightfall/scripts/find . -exec "/bin/sh" -p \;
-exec:将find内容放到后面的指令执行
/bin/sh:执行sh
-p:用文件的所有者权限执行sh
; :用分号转义
按照上面的方式将 .ssh/authorized_keys 拷贝到nightfall用户的工作目录中,然后就可以用ssh无密码登录
0x03 提权为root
执行sudo -l查看是否有sudo权限
可以看到cat命令具有root权限
此时可以cat /etc/shadow
将root的hash拷贝到kali中,用john来**
得到密码为 miguel2
提权为root后,得到flag
0x04 总结
- ftp的**
- ssh的无密码登录
- suid提权
- John**hash