Vulnhub-靶机-SOLIDSTATE: 1

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关

靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站，需要发现目标靶机的IP地址，可以使用nmap，netdiscover，或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的，那么本次演示就是arp-scan工具发现

地址:https://www.vulnhub.com/entry/solidstate-1,261/

sudo nmap -sS -sV -sC -A -p- 192.168.226.130 -o solidstate.nmap

nmap扫描结果

根据扫描结果显示，开放的4555端口存在远程命令执行漏洞，对应的exp https://www.exploit-db.com/exploits/35513 首先常规的访问下80端口，然后使用爆破下目录

没有扫到有价值的信息，那么直接看看有漏洞的4555端口

根据帮助信息可以列用户，重置密码等操作，那么开搞

列出了所有用户，然后直接重置密码为bmfx，方便后面的邮箱登录查看邮件等下信息，下面依次查看每个用户的邮件信息

只看到john用户有一封邮件，但是没看到有用的信息，继续

查看用户mindy的时候发现两封邮件，收获重要信息，含有用户mindy的ssh登录密码，直接在kali上直接ssh连接登录看看

发现是个受限的shell，很多基础的命令执行不了，通过下面方式绕过

ssh 192.168.226.130 -l mindy "export TERM=xterm; python -c 'import pty; pty.spawn(\"/bin/sh\")'"

这里还可以通过 https://www.exploit-db.com/exploits/35513 进行绕过，我就在kali本地找到此exp

修改上述标记的payload为本地kali的IP地址和nc监听的端口即可

最终上述通过对应的exp直接反弹shell成功

根据前面的邮件提示信息，获得ssh的登录凭证是从James那里获取的，所以看看对应用户的进程运行情况

有个Python程序，权限是谁都能篡改，而且隶属于root权限，那么将其更改程序执行命令的提权代码即可

反弹shell成功，拿到root权限