noone___'s blog

每个锁匠迟早会做梦。现在我们来背诵它的七个阶段吧……

这个好麻烦啊，不看wp好像只会用look偷看👀👀

我的国庆QWQ

其实东西不难，主要是kali一直连不上去，最后用attackbox才解决

域的内容好多哦qwq

好麻烦，还没有中文教程（

是的，BufferOverflowprep那个堆栈溢出的系列被跳过了

手快直接提到root了啊嗯

• 扫描打点

  

  

  $80$ 端口是 qdPM 9.2

  

  

  根据第二个密码泄露的 poc ，找到：

  

  qdpmadmin:UcVQCMQk2STVeS6J

  

• 丑陋的找密码 ssh 连接

  翻找一下：

  

  SELECT table_name FROM information_schema.tables WHERE table_schema='qdpm';

  

  下面有个 users 表

  SELECT column_name FROM information_schema.columns WHERE table_schema='qdpm' AND table_name='users';

  

  好像找错地方了，应该来这里：

  

  

  

  解一下：

  1 2 3 4 5

  Smith:X7MQkP3W29fewHdC Lucas:suRJAdGwLp8dy3rF Travis:DJceVy98W28Y7wLg Dexter:7ZwV4qtg42cmUXGX Meyer:cqNnBWCByS2DuJSy

  这里佬建议爆破一下，因为 user_id 没有显示出来，我上面是拿 user 表的 id 当 user_id 的

  crackmapexec ssh 192.168.56.104 -u user.txt -p pass.txt

  结果是全错（乐

  队友用小写试了一下，能连上两个（难蚌）：

  1 2	dexter:7ZwV4qtg42cmUXGX travis:DJceVy98W28Y7wLg

  登录第一个看到对提权的提示：

  

  第二个存了 user.txt

• 查找 SUID 命令提权

  find / -perm -u=s 2>/dev/null

  

  看到了奇怪的东西

  这里思路跟 Kenobi 很像一样，先用 strings 看下里面的命令

  

  然后经典并非绝对路径：

  

补前几天没打的份额，今天周六要连打三个，神志不清了要。坐一天牢感觉是靶机问题，不打了愤怒喵