Vulnhub-Potato
By zwsoc
本次靶机是vulnhub的potato,
地址(https://download.vulnhub.com/potato-suncsr/potato-suncsr.ova),下载好以后在虚拟机软件中打开(本人使用的是vmware),设置为nat模式,同kali在同一网段下以后,可以用sudo arp-scan -l,探测到其ip地址。
1、nmap做扫描探测
2、在扫到端口开放情况后,用-A针对这俩端口进行一次扫描,ubuntu系统,有web服务,7120是他的ssh服务。
3、访问网页,只有一个大土豆的图片
4、分别用了dirb和dirsearch对目录做了一个简单的扫描,可以访问到的只有index.html以及info.php
+ http://192.168.72.156/index.html (CODE:200|SIZE:654)
+ http://192.168.72.156/info.php (CODE:200|SIZE:87513)
+ http://192.168.72.156/server-status (CODE:403|SIZE:294)
5、查看info.php中可能存在的一些信息,一般可以看下根路径、ip、还有一些配置的开启情况。这边发现是符合本地文件包含的条件的,但是翻遍现有的源代码没有找到可以利用的参数。猜测是否是在hosts文件中绑定potato.com会扫到新的目录文件,但是也同样无果。
解释:
allow_url_fopen = On
是否允许将URL(如http://或ftp://)作为文件处理。
allow_url_include = Off
是否允许include/require打开URL(如http://或ftp://)作为文件处理。
6、暂时是找不到利用点了,想到还开启了ssh服务,干脆爆破一波,账号我这边是直接对potato进行了爆破,也可以用自己找的用户名字典,只需要将hydra -l 用户名变成 hydra -L 字典.txt即可。爆破成功:potato/letmein
7、这边也是成功ssh登录,不过vulnhub的部分旧的靶机似乎普通用户这里没有flag。
8、想想提权操作,这边发现没有安装sudo命令
去看是否有suid提权的点,以下命令结合gtfobins网站,暂时利用不了
9、然后uname -a直接看能否内核提权
在exploit-db这个网站发现一个3.13.0版本到3.19版本的提权脚本,感觉可以,直接下载进行尝试。
10、这里我用了静态编译,直接加-static即可。因为可能目标机器的glibc版本不支持。(下图是直接编译以后,目标机器的提示,无法正常执行)
在kali中编译好以后,开启web服务
- 在目标机器wget下载好以后,chomd 777给执行权限,直接执行,提权成功
最终flag值为SunCSR.Team.Potato.af6d45da1f1181347b9e2139f23c6a5b
