靶机—— Paper

一、思路概况

1.通过nmap扫描80开放端口，响应头发现域名

2.通过wpscan扫描wordpress发现了未授权漏洞，看到内部域名

3.新web中存在LFI漏洞，查看系统配置找到ssh凭证

4.linpeas提权辅助，通过CVE-2021-3560提权root

二、信息搜集

使用nmap 扫描开放了22，80端口，扫描详细信息发现域名

当访问80端口服务时，我注意到一个名为“x-backend-server”的请求头，它的值是“office.paper”

绑定到本地host

echo "10.129.126.228 office.paper" >> /etc/hosts

三、wordpress未授权漏洞

发现是wordpress框架，使用wpscan扫描一下，发现了一个未授权漏洞

在url后面添加 ?static=1 后，发现可以在未授权的情况下访问所有私密页面的内容

把这个域名加入到host中

echo "10.129.126.228 chat.office.paper" >> /etc/hosts

四、LFI漏洞

访问后是个聊天界面，注册个账号

登陆会弹出一个群聊，里头有个机器人recyclops，可以取文件

私聊他会有LFI漏洞

recyclops file ../../../../../etc/passwd

/proc/self/目录 查看当前运行的系统信息

recyclops file ../../../../../../../home/dwight/hubot/.env

使用凭证登录ssh

dwightQueenofblad3s!23

五、CVE-2021-3560提权root

linpeas扫描出CVE-2021-3560 Polkit权限提升漏

CVE-2021-3560 是 polkit 上的身份验证绕过，它允许非特权用户使用 DBus 调用特权方法。
Polkit是 Linux 授权系统的一部分，集成了systemd它的操作，并且比传统的sudo系统更具可配置性。它有时被称为sudo of systemd

CVE-2021-3560 poc https://github.com/Almorabea/Polkit-exploit

上传py脚本并运行

python3 CVE-2021-3560.py

原文始发于微信公众号（靶机狂魔）：靶机—— Paper