攻防靶场(54)：从LFI到RCE

公众号后台回复 20250129 获取靶场下载地址。

1. 侦查

1.1 收集目标网络信息：IP地址

靶机启动后，没有提供IP地址。由于Kali和靶机在同一个C段，可以扫描ARP协议获取靶机IP地址。

1.2 主动扫描：扫描IP地址段

对靶机进行全端口扫描、服务扫描、版本扫描，发现22/SSH、80/HTTP。

1.3 主动扫描：字典扫描

扫描80/HTTP服务的目录和页面，发现/console/目录。

访问/console/目录，发现file.php文件。

2. 初始访问

2.1 利用面向公众的应用

访问/console/file.php文件，返回空白。

猜测文件file.php的功能是打开文件，可能存在文件包含漏洞。尝试爆破打开文件的参数，成功获得参数file。

爆破操作系统中的文件，发现22/SSH服务的访问日志。

向22/SSH服务的访问日志投毒，成功写入webshell。

连接webshell，获得www-data用户权限。

3. 权限提升

3.1 利用漏洞提权：可写文件

任何用户都能编辑Apache服务的配置文件。

编辑配置文件，修改启动Apache服务的用户和用户组。经测试，无法使用root用户启动Apache服务，natraj用户无法提权到root用户，因此将启动Apache服务的用户修改为mahakal。

重启靶机，从而重启Apache服务。重新连接webshell，获得mahakal用户权限。

3.2 滥用特权控制机制：Sudo和Sudo缓存

mahakal用户能以root用户的权限执行nmap命令。

nmap命令能用于提权。

使用nmap命令提权，获得root用户权限。