聲明：本篇文章僅用于技術(shù)交流學(xué)習(xí)和研究的目的，嚴(yán)禁使用文章中的技術(shù)用于非法目的和破壞，否則造成一切后果與發(fā)表本文章的作者無(wú)關(guān)。

一、簡(jiǎn)介

靶機(jī)下載地址：https://www.vulnhub.com/entry/digitalworldlocal-bravery,281/

安裝到本地后，靶機(jī)本地地址為192.168.1.7

二、信息收集

使用nmap對(duì)目標(biāo)主機(jī)進(jìn)行端口掃描

發(fā)現(xiàn)開放著22、53、80、443、8080、139、445等多個(gè)端口

首先訪問80端口，web頁(yè)面

可以知道網(wǎng)站使用的是 Apache， 沒有什么其他有價(jià)值的信息。

使用showmount連接目標(biāo)主機(jī)。

showmount指令用以查尋NFS網(wǎng)絡(luò)服務(wù)器的基本信息，-e顯示信息NFS網(wǎng)絡(luò)服務(wù)器的輸出明細(xì)

顯示存在nfsshare目錄，將其掛載到本地目錄/tmp/bra，然后進(jìn)入該目錄，

查看各個(gè)文件內(nèi)容。其中有個(gè)文件名是一串字符，猜測(cè)有可能是密碼

Enum4linux用于枚舉windows和Linux系統(tǒng)上的SMB服務(wù)的工具?？梢暂p松的從與SMB服務(wù)有關(guān)的目標(biāo)中快速提取信息。tee命令用于顯示程序的輸出并將其復(fù)制到一個(gè)文件中。

使用enum4linux枚舉靶機(jī) ，枚舉信息保存到文件中

發(fā)現(xiàn)用戶名david和rick，并且發(fā)現(xiàn)anonymous目錄和secured目錄

匿名目錄anonymous可以直接訪問，secured目錄禁止訪問

smbclient是一個(gè)smb服務(wù)器的客戶端的管理程序，可以交互式的訪問samba服務(wù)器。

使用smbclient連接anonymous目錄

沒有什么有價(jià)值的信息

嘗試使用用戶名david，密碼使用前面獲得的字符串qwertyuioplkjhgfdsazxcvbnm 訪問secured目錄

訪問成功。將目錄下的文件，下載到本地

讀取genevieve.txt

從文件中得知存在genevieve路徑，訪問genevieve

發(fā)現(xiàn)一個(gè)登錄窗口

可以看到，使用的是cuppa cms

搜索漏洞cuppa cms存在的漏洞

發(fā)現(xiàn)存在cuppa cms存在遠(yuǎn)程文件包含漏洞

訪問頁(yè)面此網(wǎng)址驗(yàn)證一下，果然存在遠(yuǎn)程文件包含漏洞

制作shell文件，修改IP地址為kali的地址，端口設(shè)為1234

將文件后綴保存為txt，否則無(wú)法訪問

使用python 創(chuàng)建簡(jiǎn)單的http服務(wù)

訪問，同時(shí)kali監(jiān)聽1234端口

獲得shell成功

三、提權(quán)

然后進(jìn)行提取，執(zhí)行

發(fā)現(xiàn)可以利用cp復(fù)制命令進(jìn)行提權(quán)

讀取passwd

cp存在-s權(quán)限，可以直接覆蓋提權(quán)

查看passw

在本地新建一個(gè)passwd文件，將passwd中的文本粘貼，并新增如下一行。即新建一個(gè)bmfx用戶，密碼也是bmfx，uid為0

將該文件下載到目標(biāo)主機(jī)的/tmp目錄，使用cp命令覆蓋之前的passwd

使用su命令 切換到bmfx用戶。

提權(quán)成功，獲得root權(quán)限。

讀取proof.txt文件

完成