](https://p4.ssl.qhimg.com/t01e6dbad7275a7c51c.jpg)
前言
大家好!爱写靶机渗透文章的我又来了,因为是在工作闲暇时间做的靶机解题,所以更新可能会比较慢,为什么这篇要2个靶机写在一起哪?还是一样虽然第一个靶机困了我很久但比较简单故就和另外一个合并在一起发表了….
靶机安装/下载
Android4靶机下载:https://pan.baidu.com/s/1mdjXHQOYwUC8iVvHvKmo2A
billu b0x2靶机下载:https://pan.baidu.com/s/1NAAiXJUouE9AoW-wYJf_tQ
Android4靶机IP:192.168.1.18
billu b0x2靶机IP:192.168.1.13
攻击者IP:192.168.1.14
实战
1. Android4靶机
平时是不是玩腻了普通机器,这次我们来玩一下安卓手机入侵。。。。
第一步肯定还是一样,探测ip(很多小伙伴加我私信或者留言处问我,怎么获取IP啊,怎么知道靶机IP啊,这里写出来了,希望大家以后别再问这些问题了,这些比较简单的问题您大可以百度谷歌相信它们给的答案会比我的好。自己的局域网都扫不平何以扫天下。装逼欠抽脸…..)
输入命令:netdiscover (或者 arp-scan -l)
下面老规矩 使用 nmap 神器开路
可以看到目标开放了3个端口,分别是 5555、8080、22000
看到这里小伙伴们肯定也是跟我一样,直接找8080 http服务下手。。。 没错。我也是做的,访问如图:
看到页面,我靠 有黑客。。。 根据页面提示 说留了个后门,用POST方式提交。
那还犹豫啥,直接跑目录啊!
可以看到出来一个 dackdoor.php. 是不是很高兴?然而访问后说这样的。。。。
提示 假的后门,说明这思路不对。。。(小弟在这里卡了很久很久很久很久,一直不死心加载各种字典来猜解,都一无所获,一度都删除了该靶机….)
那我们继续搜索一下有没有其他服务版本的漏洞吧。。。
- PHP cli server 5.5
![]()
未发现…. - Dropbear sshd 2014.6
![]()
未发现….
可以看到是有一下对于的应用漏洞,但是版本对不上….
到此小弟当时都绝望了。。。
只能吧希望都寄托在最后一个端口 5555上了
然后一顿谷歌 freeciv? 是什么服务。。。
最后发现是 adb 应用的服务端口 (“adb”是什么,相信搞过android的渗透的小伙伴都知道!)
然后搜索adb的漏洞,结果有发现,如图:
找到了 16年的一个 远程命令执行漏洞,当然是直接调用模块利用啊,一顿操作,如图:
执行利用脚本以后,发现是存在当时没有反弹到shell…. 该怎么办呢?
下一步呢 我们就直接用adb 去链接他即可,
(注:肯定又会有小伙伴问了,我的kali上没有adb啊,adb怎么安装啊,您只需要输入命令:sudo apt-get install adb 即可!)
输入命令 adb connect 192.168.1.18:5555 ,如图:
第二步输入命令 adb shell 即可拿到shell,如图:
可以看到,没问题 是个正经的安卓系统shell,下一步肯定是提权了,其实很简单只需输入 su 回车,即可直接拿到root shell, 如图:
下面去拿flag,如图:
您以为要结束了吗?我觉得没有…. 既然已经拿到root权限了,难道你就不想看看,手机里面是什么样的,有什么好东西吗?
那我们就要绕过破解锁屏密码,如果没有权限您肯定跟我一样试一遍弱口令啥的,但是我们现在有 root 权限啊。折腾那些干嘛。。。 直接要吗拿key破解,要吗就直接删除它,当然我这样有逼格的人,肯定是…. 删掉key!!!
操作如图:
成功进入手机系统,如图:
好吧,比我口袋还干净。。。。
本靶机完!
2. billu b0x2靶机
老规矩 nmap 开路
通过探测可以看到该靶机一共开放了5个端口,我们还是把目光放在80端口上
访问如图:
看到底下 该网站使用了 “Drupal”框架搭建,前几个月该框架曝光过一个高危漏洞,根据这些靶机的惯用尿性,应该是存在该漏洞的。通过MSF来搜索该漏洞,如图:
发现有漏洞,调用模块输入ip和payload,如图:
成功拿下shell。。。。 如图:
下一步肯定就是提权了,我们也还是按照正常流程走,为了演示方便,小弟上传了一个webshell,并在/tmp 目录下 上传几个探测脚本,如图:
下面就比较简单,给权限运行脚本
可以看到该脚本探测给出了比较多的可能可以成功提权的漏洞编号,小弟试了一个脏牛,卡住了,没有提权成功。
下面小弟进行执行另外一个探测脚本,看看有没有什么突破口,如图:
通过上面几个探测脚本的探测结果,我们搜集了2处可以继续利用提权的地方,本次仅仅演示一种,另外一种希望留给各位大佬自己去实验测试。
- /etc/passwd 文件可以写,其中 “indishell”用户权限较高
![]()
![]()
- /opt/s 拥有root权限
![]()
本次演示第二种提权方法, 使用 strings 查看 /opt/s , 如图:![]()
发现其会 scp 命令 且为 root 权限,下面为只需要上传一个 恶意后门命名为 scp ,本次靶机测试 小弟就只需要拿到root shell 即可 所以scp文件只写入“/bin/bash”。如图:![]()
下面是我们查看一下环境变量,命令:echo $PATH![]()
下一步就是把 我们刚刚上传 scp 文件的目录 “/tmp” 添加进变量,如图:![]()
通过上面的命令可以看到,已经把/tmp 目录添加进了变量,并且也给了权限给“scp”文件,下一步就是 切换到/opt/目录下,执行“./s” 如图:
本次演示第二种提权方法, 使用 strings 查看 /opt/s , 如图:
发现其会 scp 命令 且为 root 权限,下面为只需要上传一个 恶意后门命名为 scp ,本次靶机测试 小弟就只需要拿到root shell 即可 所以scp文件只写入“/bin/bash”。如图:
下面是我们查看一下环境变量,命令:echo $PATH
下一步就是把 我们刚刚上传 scp 文件的目录 “/tmp” 添加进变量,如图:
通过上面的命令可以看到,已经把/tmp 目录添加进了变量,并且也给了权限给“scp”文件,下一步就是 切换到/opt/目录下,执行“./s” 如图:
可以看到 我们已经成功拿到root权限。
上面留的另外一个突破口和那些跑出来的可能可以提权的漏洞,留给各位小伙伴们自行线下测试!!!
结语
感谢各位大佬百忙之中的观看,祝您生活愉快,工作顺心,身体健康!!!