【Tryhackme】+Archangel（LFI+文件解析漏洞getshell，修改$PATH路径+SUID提权）

hyun134340

于 2023-01-05 18:30:15 发布

阅读量238

点赞数

文章标签：网络安全 Powered by 金山文档

本文链接：https://blog.csdn.net/hyun134340/article/details/128568292

版权

本文详细介绍了如何利用Tryhackme上的Archangel靶机进行渗透测试，包括利用LFI（Local File Inclusion）和文件解析漏洞获取shell，通过修改$PATH环境变量及创建SUID文件实现提权到root。文章总结了LFI的两种常见利用方式，并讨论了修改环境变量$PATH的提权策略。

摘要由CSDN通过智能技术生成

免责声明

本文渗透的主机经过合法授权。本文使用的工具和方法仅限学习交流使用，请不要将文中使用的工具和渗透思路用于任何非法用途，对此产生的一切后果，本人不承担任何责任，也不对造成的任何误用或损害负责。

发现服务

┌──(root💀kali)-[~/tryhackme/Archangel]
└─# nmap -sV -Pn 10.10.228.134 
Host discovery disabled (-Pn). All addresses will be marked 'up' and scan times will be slower.
Starting Nmap 7.91 ( https://nmap.org ) at 2021-10-29 05:43 EDT
Nmap scan report for 10.10.228.134
Host is up (0.32s latency).
Not shown: 998 closed ports
PORT STATE SERVICE VERSION
22/tcp openssh OpenSSH 7.6p1 Ubuntu 4ubuntu0.3 (Ubuntu Linux; protocol 2.0)
80/tcp openhttpApache httpd 2.4.29 ((Ubuntu))
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 17.39 seconds

渗透80端口

爆破目录

┌──(root💀kali)-[~/dirsearch]
└─# python3 dirsearch.py -e* -t 100 -u http://10.10.228.134 _|. _ ____ _|_v0.4.2 (_||| _) (/_(_|| (_| ) Extensions: php, jsp, asp, aspx, do, action, cgi, pl, html, htm, js, json, tar.gz, bak | HTTP method: GET | Threads: 100 | Wordlist size: 15492

Output File: /root/dirsearch/reports/10.10.228.134/_21-10-29_06-02-36.txt

Error Log: /root/dirsearch/logs/errors-21-10-29_06-02-36.log

Target: http://10.10.228.134/

[06:02:37] Starting: 
[06:03:59] 301 -312B- /flags->http://10.10.228.134/flags/[06:04:06] 301 -313B- /images->http://10.10.228.134/images/[06:04:06] 200 -0B- /images/[06:04:08] 200 - 19KB - /index.html 
[06:04:29] 301 -312B- /pages->http://10.10.228.134/pages/[06:04:30] 200 -0B- /pages/ 
[06:04:44] 403 -277B- /server-status

/flags 转向youtube一个视频，没有其他信息，应该是个兔子洞其他文件夹没有其他信息

查看网页源代码，在Send us a mail里发现一个域名，把mafialive.thm写进host文件

echo "10.10.228.134 mafialive.thm" >> /etc/hosts

打开mafialive.thm发现flag1

再次爆破目录

┌──(root💀kali)-[~/dirsearch]
└─# python3 dirsearch.py -e* -t 100 -u http://mafialive.thm _|. _ ____ _|_v0.4.2
 (_||| _) (/_(_|| (_| )

Extensions: php, jsp, asp, aspx, do, action, cgi, pl, html, htm, js, json, tar.gz, bak | HTTP method: GET | Threads: 100 | Wordlist size: 1