0x01 信息收集

扫描端口：

nmap -A -T4 -Pn -sS  10.254.2.7

扫描端口后得知只有22端口和3000端口，访问3000端口是个web页面。

并且有个登陆页面

0x02 web渗透

查看一下源代码，发现很多js代码

在assets/js/app/controllers/home.js文件夹有个api接口

然后直接访问api接口，意外发现有三个uername和md5加密后的password

第一个拿去somd5网站解密后得到密码：spongebob

直接登陆进去，提示只有admin用户可以访问控制面板

回到原点，我们继续查看js的源代码，在assets/js/app/controllers/profile.js文件中发现有个/api/users的接口，我们访问他

发现多了一个用户，并且他的is_admin是true类型，那就说明他是管理员用户

同样拿去somd5解密，得到密码：manchester

登陆后发现有个下载按钮，并且是备份的文件

文件名为myplace.backup，不知道是啥后缀的文件，我就用记事本查看，发现好多字符串，以CTF思维来讲好像是个base64编码

那么多放在在线解密网站直接崩了。经过网上查询，可以使用kali的base64命令解出来合成一个文件。然后file命令查看一下他输出的是什么文件格式。

base64 -d myplace.backup > myplace
file myplace

发现他是zip压缩包格式，我们查看一下有什么。打开后发现还需要密码

直接爆破，本次使用kali的fcrackzip工具以及自带的字典爆破。

新版的kali没有自带了，需要安装

apt install fcrackzip

fcrackzip  -u -D -p /usr/share/wordlists/rockyou.txt myplace.zip

得到密码：magicword

打开后是源码的备份文件，然后在app.js发现有个连接数据库配置文件，找到连接用户名和密码

尝试22的SSH登陆，ssh [email protected]

登陆成功！

0x03 权限提升

使用sudo -l查看特权文件，可惜没有。我们先使用uname -a查看内核版本

尝试搜下有没有内核提权漏洞

searchsploit linux 4.4.0

把exp复制到桌面上

searchsploit -m linux/local/44298.c

然后使用scp复制到目标主机上

scp 44298.c [email protected]:/var/tmp/

使用gcc进行编译exp

gcc 44298.c -o shell

执行shell文件，成功提权至root

root用户根目录下有个flag：1722e99ca5f353b362556a62bd5e6be0

第二个flag是tom用户的根目录下：e1156acc3574e04b06908ecf76be91b1