第一步是要猜出来目录fristi:
然后看源码得到用户名密码,然后上传一句话木马:
然后其实可以直接脏牛提权了:
https://github.com/FireFart/d...
但是作者做了诸多布置,还是探索一下,不然岂不辜负良苦用心:
根据提示我们创建runthis文件:
这样就弹回了shell:
看到有py文件和两个看似密文的文件,加密代码如下:
根据加密代码写的解密代码如下:
解出来密文是:thisisalsopw123和LetThereBeFristi!
试一下登录第三个用户,密码是LetThereBeFristi!。这里遇到一个坑点,看了writeup才知道,那就是su xxx和su - xxx的区别。先说之后的操作,su - 登录第三个用户后看.bash_history文件:
看sudo -l:
所以就模仿着写命令如下:
sudo -u fristi /var/fristigod/.secret_admin_stuff/doCom /bin/bash就得到root权限了。
注:拿到任何shell都先执行python -c 'import pty;pty.spawn("/bin/bash")'这条命令。
最后记录一下su - xxx和su xxx的区别。
su命令和su -命令最大的本质区别就是:前者只是切换了root身份,但Shell环境仍然是普通用户的Shell;而后者连用户和Shell环境一起切换成root身份了。只有切换了Shell环境才不会出现PATH环境变量错误。su切换成root用户以后,pwd一下,发现工作目录仍然是普通用户的工作目录;而用su -命令切换以后,工作目录变成root的工作目录了。用echo $PATH命令看一下su和su -以后的环境变量有何不同。以此类推,要从当前用户切换到其它用户也一样,应该使用su -命令。
所以如果是su切成第三个用户是看不到.bash_history文件的。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。