简记渗透trollcave

一.主机发现

    nmap -sP 192.168.174.1/24

    发现主机192.168.174.134

 

二.端口扫描

    nmap -sS -A 192.168.174.134

    发现端口22、80

 

三.信息收集以及获得shell

    访问80端口

    看上去像是一个个人博客，也没有用什么框架来搭建，关闭了注册功能

    在浏览帖子的过程中发现密码重置是根据ruby框架实施的

    访问/password_resets/new

    先试一下xer的吧

    访问得到的url

    重置成功

    看看都有哪些用户，好考虑提升权限

    King是超级管理员，考虑到之前修改密码的url：http://192.168.174.134/password_resets/edit.2NUQN1xXaupp_ycsnB5ZAQ?name=xer，尝试修改xer为King，发现成功进入King的密码修改界面，修改密码后以King身份登陆网站

    打开文件上传权限

    之后上传一个webshell，并在个人信息界面发现了shell的路径

    尝试访问，发现结果是404，考虑到之前开放了22端口，于是用Xshell上传一个公钥，使用公私钥对进行连接，而且之前password帖子中提到rails，于是上传的路径应该为../../../../../../home/rails/.ssh/authorized_keys

    上传之后用Xshell进行远程连接

 

四.提升权限

    查看系统内核，考虑内核提权cat /proc/version

    百度该版本的漏洞，发现一个可利用的

    这里给出原帖链接：https://www.cnblogs.com/hookjoy/p/8616250.html

    由于靶机没有gcc环境，无法编译，只能先编译再上传，编译过程略，通过网站的文件上传功能把可执行文件上传到/tmp/.Test-unix路径，并赋予可执行权限

    执行123456，提权成功！

    进入/root，得到flag