靶场VNH练习(3)TROLLCAVE: 1.2

靶场名称:TROLLCAVE: 1.2
难度:简单
目标:拿到root账户的flag文件
下载链接:https://www.vulnhub.com/entry/trollcave-12,230/

环境搭建

image.png
使用虚拟机打开ova文件
image.png
这里没有IP,检测方法《Vulnhub靶机检测不到IP》
https://www.yuque.com/docs/share/76c0f057-3a94-40dd-b17d-7d9c02c59129?#** **

这样靶场环境就已经搭建好了

WEB渗透

image.png
一个22端口,一个80端口,两种方法,一种22端口弱口令爆破,一种80端口访问找漏洞利用
image.png
查找指纹信息,没有匹配到cms
这里发现password reset(重置密码)的文章
image.pngimage.pngimage.png
这里需要用户名就可以重置密码,这里访问发现用户发布的信息
image.png
这里爆破id发现17个用户
image.png
这里尝试后发现只可以重置普通会员用户的密码
image.png
这里会发现存在几个等级的账户
image.png
image.pngimage.png
image.pngimage.png
这里选择重置普通会员密码
image.pngimage.pngimage.png
这里重置成功并且登录成功!发现文件上传功能被关闭了,这里尝试修改超级管理员的密码
image.pngimage.png
成功登录King也就是超级管理员的账户
image.png
这里开启文件上传
image.png
先尝试上传phpinfo,找到文件
image.pngimage.png
这里显示输出,但不执行 ,这里检查了一下网站的指纹信息,发现使用的是ruby

image.png
这里木马是无法解析的,这里还有22端口,尝试上传ssh公钥,通过公钥直接链接服务器

首先生成公钥私钥
image.png
image.png
这里打开root/.ssh/,发现存在公钥和私钥,这里尝试上传公钥到靶机
image.png
这里试了下King ,这里用户名不是King,发现有一个博客发了一则sudo的消息
image.png
image.pngimage.png

ssh -i id_rsa rails@192.168.131.129

image.png

python3 -c 'import pty; pty.spawn("/bin/bash")'

通过该命令获取完整的shell
image.png

权限提升

这里发现用户为rails,尝试提权
image.png
这里先尝试suid提权,查找具有root权限的SUID的文件
image.png
暂未发现较好利用的点,再查看一下内核和版本信息

uname -a
lsb_release -a

image.png
这里试了一下,发现没有安装gcc,所以继续观察suid有无可利用点,这里发现有一个pkexec,这个存在一个提权漏洞

POC地址:https://github.com/nikaiw/CVE-2021-4034/archive/refs/heads/master.zip

这里有一个小坑,靶机没安装gcc,所以无法运行c,安装了python2和3,所以用的python脚本
image.png

python3 -c 'import pty; pty.spawn("/bin/bash")'

这里获取完整的shell,拿到root里面的flag
image.png

posted @ 2022-10-10 12:19  SummerDon  阅读(287)  评论(0)    收藏  举报