一、信息收集

先掃描一波網(wǎng)段，找到靶機(jī)。

nmap -sP 192.168.220.0/24

使用nmap進(jìn)行端口掃描，發(fā)現(xiàn)開放了22，80，6800三個(gè)端口。

nmap -sC -sV -T4 -p- -sT -A 192.168.220.128

訪問一波http服務(wù)，頁面如下。不知道是啥，但是發(fā)現(xiàn)有關(guān)鍵字Aria2 WebUI，上百度搜索一波，發(fā)現(xiàn)這是一個(gè)下載資源的東西。

查看一下源代碼，發(fā)現(xiàn)下面的關(guān)鍵字，搜索一波，看看有啥漏洞可以利用不。

額.....，離譜，真就一個(gè)都沒有唄。

來，上gobuster進(jìn)行一波目錄掃描

gobuster dir -u "http://192.168.220.128/" -w directory-list-2.3-medium.txt -t 30 -x php,html,txt,7z,zip,bak,gz

結(jié)果如下，發(fā)現(xiàn)兩個(gè)txt文件，robots.txt，result.txt

robots.txt內(nèi)容如下

result.txt內(nèi)容如下，嗯....這東西是不看著特別眼熟？不急，看看下面的

我在kali上執(zhí)行ps -aux，再結(jié)合上圖，看吧，上面的應(yīng)該是進(jìn)程列表了。而且從中可以發(fā)現(xiàn)aria2c是以carolina身份運(yùn)行的。

注意下面幾個(gè)箭頭，這是個(gè)下載工具，猜測dir是我們下載的默認(rèn)目錄。

點(diǎn)擊添加，點(diǎn)擊使用鏈接下載。那我們能不能先使用kali生成密鑰，然后開啟一個(gè)http服務(wù)，通過這個(gè)使目標(biāo)機(jī)下載到/home/carolina目錄下呢？

二、漏洞利用

使用kali生成密鑰

ssh-keygen

使用python開啟一個(gè)http服務(wù)

python3 -m http.server 80

?添加下載鏈接和保存目錄

?如下圖，下載成功

ssh carolina@192.168.220.128 -i id_rsa

使用私鑰成功登錄到目標(biāo)機(jī)，拿到第一個(gè)flag

三、權(quán)限提升

接下來就是要將權(quán)限提升至root了。

先來看看有沒有sudo濫用，？？？沒有命令？

算了，先來看看能不能進(jìn)行suid和sgid提權(quán)吧。

find / -perm -u=s -type f 2>/dev/null

如圖，發(fā)現(xiàn)一個(gè)/usr/bin/rtorrent，看看能不能提權(quán)吧

經(jīng)過百度，發(fā)現(xiàn)這可以使用execute.throw執(zhí)行一些系統(tǒng)命令，但是要使用rtorrent前提是需要配置文件.rtorrent.rc，所以我這里先使用創(chuàng)建這個(gè)文件，然后輸入下面內(nèi)容，創(chuàng)建/root/.ssh目錄，并將公鑰復(fù)制到該目錄下。

因?yàn)閞torrent命令具有suid權(quán)限，所以在其他用戶執(zhí)行該命令時(shí)可以獲得root權(quán)限，所以創(chuàng)建/roo/.ssh目錄，并將公鑰復(fù)制。

在kali上使用私鑰登錄root，成功獲得第二個(gè)flag

總結(jié)

以上是生活随笔為你收集整理的HackMyvm靶机系列(5)-warez的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。