靶场名称:TROLLCAVE: 1.2
难度:简单
目标:拿到root账户的flag文件
下载链接:https://www.vulnhub.com/entry/trollcave-12,230/
环境搭建
使用虚拟机打开ova文件
这里没有IP,检测方法《Vulnhub靶机检测不到IP》
https://www.yuque.com/docs/share/76c0f057-3a94-40dd-b17d-7d9c02c59129?#** **
这样靶场环境就已经搭建好了
WEB渗透
一个22端口,一个80端口,两种方法,一种22端口弱口令爆破,一种80端口访问找漏洞利用
查找指纹信息,没有匹配到cms
这里发现password reset(重置密码)的文章
这里需要用户名就可以重置密码,这里访问发现用户发布的信息
这里爆破id发现17个用户
这里尝试后发现只可以重置普通会员用户的密码
这里会发现存在几个等级的账户
这里选择重置普通会员密码
这里重置成功并且登录成功!发现文件上传功能被关闭了,这里尝试修改超级管理员的密码
成功登录King也就是超级管理员的账户
这里开启文件上传
先尝试上传phpinfo,找到文件
这里显示输出,但不执行 ,这里检查了一下网站的指纹信息,发现使用的是ruby
这里木马是无法解析的,这里还有22端口,尝试上传ssh公钥,通过公钥直接链接服务器
首先生成公钥私钥
这里打开root/.ssh/,发现存在公钥和私钥,这里尝试上传公钥到靶机
这里试了下King ,这里用户名不是King,发现有一个博客发了一则sudo的消息
ssh -i id_rsa [email protected]
python3 -c 'import pty; pty.spawn("/bin/bash")'
通过该命令获取完整的shell
权限提升
这里发现用户为rails,尝试提权
这里先尝试suid提权,查找具有root权限的SUID的文件
暂未发现较好利用的点,再查看一下内核和版本信息
uname -a
lsb_release -a
这里试了一下,发现没有安装gcc,所以继续观察suid有无可利用点,这里发现有一个pkexec,这个存在一个提权漏洞
POC地址:https://github.com/nikaiw/CVE-2021-4034/archive/refs/heads/master.zip
这里有一个小坑,靶机没安装gcc,所以无法运行c,安装了python2和3,所以用的python脚本
python3 -c 'import pty; pty.spawn("/bin/bash")'
这里获取完整的shell,拿到root里面的flag