CVE-2019-16278 nostromo 1.9.6 RCE -> shell

        首先我们用nmap扫描端口，发现了目标机器开启22,80端口

        在web上没有发现任何可利用的漏洞，我们用whatweb发现了目标使用nostromo 1.9.6作为服务器

        那么，我们可以可以使用CVE-2019-16278 RCE作为shell，使用poc和netcat getshell

David’ssh私钥泄露

        在当前用户下找不到user.txt

枚举用户后发现/home/david/protected-file-area中存放备份文件

备份文件中有david的ssh私钥。用john2ssh.py将私钥的hash读出来，再用john破解密码。

        密码为hunter

Journalctl shell逃逸 -> 权限提升

        在david目录下发现了bin文件夹，bin文件夹下存放着一个运行查看日志的bash脚本。而且可以看到journalctl是用sudo跑的，如果shell逃逸后会是root权限

                https://gtfobins.github.io/

        这个站点可以搜索linux可执行程序相关不安全配置的利用发现journalctl存在shell逃逸(在脚本执行期间输入!/bin/sh)

        获得root.txt

手握日月摘星辰，安全路上永不止步。

                                                      - Khan攻防安全实验室

本文始发于微信公众号（Khan安全攻防实验室）：Hack the box-Traverxec