详细操作:https://blog.csdn.net/weixin_61951055/article/details/127955769
流程:
- 主机发现,扫描端口
发现三个web页面,配置页面源码中包含加密的密码
。其他两个页面是登录页
。(还缺登录名)
- 主机信息收集
包括目录扫描,操作系统信息收集等。
enum4linux
工具发现操作系统登录名,尝试配合上一步密码登录web页面。有一个可以登录,此时为普通用户权限。
- 权限提升
在web页面发现有命令执行的功能,尝试写入反弹shell到本地。发现当前路径有tar
、user.txt
两个文件,一个就是拿到当前shell的flag了,另一个用来提权。
find 命令搜索包含pass的文件,或者root用户运行的进程。 发现一个密码备份文件。
正好./tar
程序可以执行任意文件读取(通过gecap
命令查看可执行程序的能力)。本地的这个./tar
命令可以将root用户才可读的密码备份文件打包,因为它具有root用户的文件读取能力(root用户的所有权限被分解成20+种能力,ref1,ref2)。获得密码,成功提权到root。