启程:
开始扫描端口服务,发现什么都没有,果断进行下一步目录扫描
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 8.2p1 Ubuntu 4ubuntu0.5 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey:
| 3072 98:4e:5d:e1:e6:97:29:6f:d9:e0:d4:82:a8:f6:4f:3f (RSA)
| 256 57:23:57:1f:fd:77:06:be:25:66:61:14:6d:ae:5e:98 (ECDSA)
|_ 256 c7:9b:aa:d5:a6:33:35:91:34:1e:ef:cf:61:a8:30:1c (ED25519)
80/tcp open http Apache httpd 2.4.41 ((Ubuntu))
|_http-server-header: Apache/2.4.41 (Ubuntu)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
有人想知道什么时候进行目录扫描,什么时候可以暂时忽略,或者说降低目录扫描的优先级,那么我总结出的结论是看你第一页面的功能点是否足以达到rce,如果不行你肯定得扩大攻击面,这个时候就可以开扫了,打什么靶场的时候都可以问自己一句
因为80端口什么都没有,所以选择目录扫描最后经过筛选看到一个登录页面,果断尝试offsec最喜欢的admin/admin尝试登录(这里我建议大家每遇见一个登录口都可以尝试一下,巨好用)
然后也是成功进入页面,这个时候我们还暂时不知道该如何做,只能看看有什么功能点可以利用
然后我们对已成功登录的页面继续扫描,结果发现一个changlog文件,这个文件我们之前也都遇见过,这个最大的作用就是告诉你版本号
进去之后看到了他最后一次更新的版本是2.1.15,这下子我们就可以更加轻松得到exp,如果没版本号就可能得多试几个exp
然后根据版本很轻松发现它存在一个文件上传漏洞,但是没找到利用exp
只能自己上了,先上一个simple-backdoor试试水
发现访问目录之后可以直接执行!!!
那么果断上我们的反弹马子,然后填好我们的攻击IP,直接传
然后我们也是非常非常顺利的拿下了第一个入口shell
然后linpeas啥的,包括找可执行文件啥都没有,但是我们看到home底下有个dora用户,尝试找一下看能不能找到他的密码(其实打到这时候根本没想到还能这么玩,因为linpeas啥密码都没爆出来差点就放弃了)
find / -type f -name ".*" -exec ls -l {} \; 2>/dev/null | grep -v "dora"这里不用说吧,肯定看php文件呀,谁家好人去看.htaccess
然后这里我们也是得到了一个dora的hash
果断抛给john让他破解去,不待再去确认他的加密类型了,直接让jonh破解了
我们拿着john破解出的密码直接尝试横向一下,也是成功获得新的权限
继续拿linpeas看看在新的权限下有啥好玩的,我们发现自己在disk组中,但是好巧不巧,我连这个提权的方法是一点没接触过,是我感觉比较新的提权手法
然后上网查了一下,发现可以通过我这种逃脱有限的shell,会独立出一个新的高权限shell,在这个shell界面我们可以查看我们想看的文件
debugfs /dev/mapper/ubuntu--vg-ubuntu--lv这里也是成功看到了我们的目标文件
总结:
我觉得是不难的主要是这种提权手法我没见过,所以感觉可以发出来大家学习一下,后面没有什么好的提权的靶场或者过于简单的我都不会发了,只会发我觉得难度高的和新奇思路的