第一步是要猜出来目录 fristi:
而后看源码失去用户名明码,而后上传一句话木马:
而后其实能够间接脏牛提权了:
https://github.com/FireFart/d…
然而作者做了诸多安排,还是摸索一下,不然岂不辜负良苦用心:
依据提醒咱们创立 runthis 文件:
这样就弹回了 shell:
看到有 py 文件和两个看似密文的文件,加密代码如下:
依据加密代码写的解密代码如下:
解进去密文是:thisisalsopw123 和 LetThereBeFristi!
试一下登录第三个用户,明码是 LetThereBeFristi!。这里遇到一个坑点,看了 writeup 才晓得,那就是 su xxx 和 su – xxx 的区别。先说之后的操作,su – 登录第三个用户后看.bash_history 文件:
看 sudo -l:
所以就模拟着写命令如下:
sudo -u fristi /var/fristigod/.secret_admin_stuff/doCom /bin/bash
就失去 root 权限了。
注:拿到任何 shell 都先执行 python -c 'import pty;pty.spawn("/bin/bash")'
这条命令。
最初记录一下 su – xxx 和 su xxx 的区别。
su 命令和 su - 命令最大的本质区别就是:前者只是切换了 root 身份,但 Shell 环境依然是普通用户的 Shell;而后者连用户和 Shell 环境一起切换成 root 身份了。只有切换了 Shell 环境才不会呈现 PATH 环境变量谬误。su 切换成 root 用户当前,pwd 一下,发现工作目录依然是普通用户的工作目录;而用 su - 命令切换当前,工作目录变成 root 的工作目录了。用 echo $PATH 命令看一下 su 和 su - 当前的环境变量有何不同。以此类推,要从以后用户切换到其它用户也一样,应该应用 su - 命令。
所以如果是 su 切成第三个用户是看不到.bash_history 文件的。