攻防靶场(6)：赢麻了，4种方式进后台、5种方式提权 FUBOX EASY

攻防靶场(6)：赢麻了，4种方式进后台、5种方式提权 FUBOX EASY

1.1 收集目标网络信息：IP地址

靶机启动后，没有提供IP地址。由于Kali和靶机在同一个C段，可以扫描ARP协议获取靶机IP地址。

1.2 主动扫描：扫描IP地址段

对靶机进行全端口扫描、服务扫描、版本扫描，发现22/SSH、80/HTTP、060/TCP。

1. 主动扫描：字典扫描

扫描网站目录和页面，发现/admin/目录、/index.php页面、/文件及其提示的/gym/目录、/store/目录。

2.1 （一）利用面向公众的应用

/store/目录的主页有管理后台的登录地址

尝试admin:admin弱口令登录

竟然登录成功，直接进入管理后台，运气太好了

2.2 （二）利用面向公众的应用

登陆框存在SQL注入漏洞，可以万能密码进入管理后台

2. （三）利用面向公众的应用

在 1. 字典扫描阶段时，发现了/store/database/目录

目录中有部署应用时初始化数据库的www_project.sql文件

文件中有应用的初始帐号和密文密码

密文密码可以解密，最终获得admin:admin，可以登录管理后台。

2.4 （四）利用面向公众的应用

查看图书详情，进入到/store/book.php页面

该页面的bookisbn参数存在SQL注入漏洞

可以使用sqlmap爆库

爆表

爆字段

爆记录，获得帐号密码admin:admin，可以登录管理后台。

2.5 利用面向公众的应用

管理后台的添加（Add new book）和编辑（Edit）图书功能，存在文件上传漏洞

准备反弹shell文件，/usr/share/webshells/php/php-reverse-shell.php，需要修改反弹地址

在编辑图书页面，上传反弹shell文件

上传会报错，应该是也存在SQL注入漏洞，删掉单引号就能上传成功

访问/store/目录的主页，网站加载图书照片时，会触发反弹shell，最终获得www-data用户权限。

.1 （一）滥用特权控制机制：Setuid和Setgid

time命令存在root用户的suid权限

time命令可用于提权

最终可以获得root用户权限

4.1 不安全的凭据：文件中的凭据

在用户家目录下，存在密码本/home/tony/，含有SSH密码，可以获得tony用户权限。

5.1 （二）利用漏洞提权：LXD程序

tony用户属于lxd用户组，可以通过创建特权LXC容器实例，并挂载宿主机磁盘的方式，获得宿主机磁盘中所有敏感文件的访问权限

初始化LXD程序

下载 Alpine Linux 镜像，上传到靶机中，并导入到LXC中

使用 Alpine Linux 镜像，以特权模式启动容器实例

为容器实例挂载宿主机磁盘

启动容器实例，并在容器中执行返回shell的命令，从而获得容器权限

在容器中可以访问宿主机中的所有敏感权限，类似于获得root用户的read权限

5.2 （三）滥用特权控制机制：Sudo和Sudo缓存

tony用户能以root用户权限执行pkexec命令

pkexec命令可用于提权

最终获得root用户权限

5. （四）滥用特权控制机制：Sudo和Sudo缓存

tony用户能以root用户权限执行mtr命令

mtr命令能以root用户权限阅读服务器中的所有敏感文件

最终类似于获得root用户的read权限

5.4 （五）滥用特权控制机制：Sudo和Sudo缓存

tony用户能以root用户权限执行time命令

pkexec命令可用于提权

最终获得root用户权限