type
status
date
slug
summary
tags
category
icon
password
信息收集
端口扫描
Denied
靶机ip:192.168.108.137
攻击机ip:192.168.108.50
靶机地址:https://vulnyx.com/
端口号 | 协议 | 服务 | 描述 |
22 | TCP | SSH | 远程登录服务,可能存在弱口令或爆破风险 |
80 | TCP | HTTP | Web 服务,常见漏洞包括 XSS、SQL 注入、目录遍历等 |
8080 | TCP | HTTP-Proxy | 可能是另一个 Web 应用或反向代理,也值得重点关注 |
Web目录爆破
开放了22,80和8080端口,尝试访问一下,80和8080都为apache的默认页面,尝试一下目录爆破,发现也是一样的所以它们可能是同一个 Web 服务的不同监听端口
图片.png
初始访问
SSH用户枚举
尝试22端口,先直接尝试登录root,用户名存在,但密码错误,看作者这里是直接写了爆破用户名的脚本
SSH密码爆破
有了用户名使用 hydra尝试爆破密码,成功爆破,有用户名有密码ssh
登录
- 找到正确密码后立刻退出(
f);
- 忽略上次任务的恢复记录(
I);
图片.png
图片.png
权限提升
SUID程序枚举
sudo -l 发现没有安装
sudo ,不过我们可以使用其他方法来查看有没有suid权限程序程序路径 | 是否可利用提权 | 分析说明 |
/usr/bin/mount, /usr/bin/umount | ❌ | 正常工具,参数受限,难以利用 |
/usr/bin/chsh, /usr/bin/chfn | ⚠️ | 可设置 shell,可能有用(见下) |
/usr/bin/passwd, /usr/bin/su, /usr/bin/newgrp, /usr/bin/gpasswd | ❌ | 标准 SUID 程序,受限 |
/usr/lib/openssh/ssh-keysign | ❌ | 特殊用途,不可直接利用 |
/usr/lib/dbus-1.0/dbus-daemon-launch-helper | ⚠️ | 可能存在漏洞(需根据系统版本) |
/usr/bin/doas | ✅ 可能利用 | 重点关注:可能是 sudo 替代品 |
图片.png
Doas配置枚举
接下来也是爆破直接按作者的来吧
逐步解释:
ls -l /usr/bin/
ls: 列出目录内容。
l: 使用 长格式 显示每个文件的详细信息(权限、所有者、大小、时间等)。
/usr/bin/: 要列出的目录,里面包含系统的大部分命令和可执行文件。
| awk '{print $9}'
|: 管道符,把ls -l的输出传给awk处理。
awk '{print $9}': 提取每行的第 9 个字段(字段是以空格或制表符分隔的),这个字段通常是 文件名。
表格讲解:
部分 | 含义 | 作用 | ㅤ |
while read -r bin | 逐行读取 bins.dic 文件 | 每次循环读取一个二进制文件名,赋值给变量 bin | ㅤ |
doas -n /usr/bin/"$bin" --help >/dev/null 2>&1 | 以非交互模式 ( -n) 使用 doas 尝试运行该命令的 --help 选项 | 判断当前用户是否被允许执行这个命令 | ㅤ |
ec=$? | 保存上一条命令的退出状态码 | 退出码是判断是否成功执行的关键 | ㅤ |
if [ $ec -eq 0 ] | 判断退出码是否为 0 | 0 表示执行成功,说明允许运行该命令 | ㅤ |
echo "[+] $bin allowed" | 输出成功信息 | 显示该命令是被允许执行的 | ㅤ |
elif [ $ec -ne 1 ] | 如果不是常规的 --help 错误 | 非 1 可能是权限错误或其他异常 | ㅤ |
echo "[-] $bin denied (exit $ec)" | 输出拒绝信息 | 显示该命令不能通过 doas 执行 | ㅤ |
done < bins.dic | 循环结束,读取文件 | 从 bins.dic 文件中读取命令名 | ㅤ |
利用choom提权
图片.png
- Author:axlfpe
- URL:https://tlifecafe.xyz/article/c881a4ac-ab03-4af9-b1b5-b2f91867ce37
- Copyright:All articles in this blog, except for special statements, adopt BY-NC-SA agreement. Please indicate the source!
