靶场名称：TROLLCAVE: 1.2
难度：简单
目标：拿到root账户的flag文件
下载链接：https://www.vulnhub.com/entry/trollcave-12,230/

环境搭建

使用虚拟机打开ova文件

这里没有IP，检测方法《Vulnhub靶机检测不到IP》
https://www.yuque.com/docs/share/76c0f057-3a94-40dd-b17d-7d9c02c59129?#** **

这样靶场环境就已经搭建好了

WEB渗透

一个22端口，一个80端口，两种方法，一种22端口弱口令爆破，一种80端口访问找漏洞利用

查找指纹信息，没有匹配到cms
这里发现password reset（重置密码）的文章

这里需要用户名就可以重置密码，这里访问发现用户发布的信息

这里爆破id发现17个用户

这里尝试后发现只可以重置普通会员用户的密码

这里会发现存在几个等级的账户



这里选择重置普通会员密码

这里重置成功并且登录成功！发现文件上传功能被关闭了，这里尝试修改超级管理员的密码

成功登录King也就是超级管理员的账户

这里开启文件上传

先尝试上传phpinfo，找到文件

这里显示输出，但不执行 ，这里检查了一下网站的指纹信息，发现使用的是ruby

这里木马是无法解析的，这里还有22端口，尝试上传ssh公钥，通过公钥直接链接服务器

首先生成公钥私钥


这里打开root/.ssh/,发现存在公钥和私钥，这里尝试上传公钥到靶机

这里试了下King ,这里用户名不是King,发现有一个博客发了一则sudo的消息

ssh -i id_rsa [email protected]

python3 -c 'import pty; pty.spawn("/bin/bash")'

通过该命令获取完整的shell

权限提升

这里发现用户为rails，尝试提权

这里先尝试suid提权，查找具有root权限的SUID的文件

暂未发现较好利用的点，再查看一下内核和版本信息

uname -a
lsb_release -a

这里试了一下，发现没有安装gcc，所以继续观察suid有无可利用点，这里发现有一个pkexec,这个存在一个提权漏洞

POC地址：https://github.com/nikaiw/CVE-2021-4034/archive/refs/heads/master.zip

这里有一个小坑，靶机没安装gcc，所以无法运行c，安装了python2和3，所以用的python脚本

python3 -c 'import pty; pty.spawn("/bin/bash")'

这里获取完整的shell，拿到root里面的flag