描述：一個中等難度的靶機(jī)，最終目標(biāo)是獲取root權(quán)限拿到flag

1、目標(biāo)發(fā)現(xiàn)

2、namp掃描

發(fā)現(xiàn)找到22端口、80端口。但22端口不是open狀態(tài)，而是filtered狀態(tài)，說明被防火墻拒絕了。以及一個robots文件

3、搜集Web信息

查看源碼內(nèi)容，發(fā)現(xiàn)提示信息

頁面源碼發(fā)現(xiàn)的信息：

登錄頁面：

查看源碼信息：

源碼中有一個login.php點(diǎn)擊可以查看源碼

看源碼可以知道，登錄成功會返回一張圖片，這張圖片應(yīng)該就是上述提到需要的.jpg圖片。

看源碼中的SQL查詢語句，發(fā)現(xiàn)可以SQL注入。

嘗試注入' OR 1=1 --

但是沒有返回任何信息

嘗試直接訪問3.jpg

保存這個文件

嘗試使用隱寫工具看是否有隱寫

解密出一份文件。文件內(nèi)容：

看看web頁面的robots.txt

訪問一下/config路徑

有一個1.txt文件 文件內(nèi)容可能是密碼 ，先用base64解密一下

從目前得到信息，似乎是兩個端口信息。

訪問一下css/目錄和imagens/目錄

在css目錄中發(fā)現(xiàn)一個2.txt 文件，文件內(nèi)容如下

這應(yīng)該是一種編碼，經(jīng)過搜尋，這應(yīng)該是Brainfuck編碼 https://en.wikipedia.org/wiki/Brainfuck

解碼可得：

這應(yīng)該也是一個端口號。

訪問imagens/目錄，

沒有發(fā)現(xiàn)有價值的信息。

嘗試使用目錄掃描看是否能發(fā)現(xiàn)更多信息

發(fā)現(xiàn)backup目錄。訪問

得到一個wordlist.txt文件

看起來像是一個字典文件。

綜合前面得到的信息。1.txt得到了信息：10000 ；2.txt的內(nèi)容是：4444 ；3.jpg的內(nèi)容是65535 。以及前面的提示：port knocking 和一個wordlist.txt文件。

首先，嘗試使用knock工具進(jìn)行tcp端口敲門

再次使用nmap掃描目標(biāo)主機(jī)：

發(fā)現(xiàn)ssh端口狀態(tài)是開放狀態(tài)了。說明通過端口敲門，ssh端口被防火墻放行了。

嘗試使用之前得到的用戶名jubiscleudo和得到的wordlist.txt對SSH進(jìn)行爆破

成功得到了一個密碼。使用jubiscleudo登錄目標(biāo)機(jī)器

4、搜索目標(biāo)主機(jī)信息

獲取內(nèi)核版本信息和系統(tǒng)版本信息

獲取任務(wù)計劃信息

獲取sudo權(quán)限信息

查找suid權(quán)限程序

查看網(wǎng)站根目錄文件

發(fā)現(xiàn)一個.backup_config.php的隱藏文件，查看其內(nèi)容

發(fā)現(xiàn)一個hackable_3的用戶和密碼信息。

嘗試使用這個用戶登錄到目標(biāo)主機(jī)

搜集這個用戶的信息

sudo 、suid、任務(wù)計劃都沒有發(fā)現(xiàn)可以利用的地方。

在exploitdb中查找內(nèi)核版本相關(guān)漏洞信息

嘗試使用本地提權(quán)漏洞，把exp文件上傳到目標(biāo)主機(jī)，編譯執(zhí)行

但發(fā)現(xiàn)目標(biāo)沒有g(shù)cc編譯環(huán)境。在本地同版本系統(tǒng)環(huán)境編譯后再上傳執(zhí)行試試

但發(fā)現(xiàn)需要SUID，陷入僵局。

回到前面獲取到的信息，發(fā)現(xiàn)有一個特別的地方

hackable_3這個用戶所屬lxd組。（LXD是一個系統(tǒng)級的容器）。

5、嘗試使用lxd容器提權(quán)

參考文章：https://www.freebuf.com/articles/system/216803.html

首先，在本地環(huán)境構(gòu)建一個用于提權(quán)的鏡像

將構(gòu)建好的鏡像tar.gz文件上傳到目標(biāo)機(jī)器

導(dǎo)入鏡像

運(yùn)行容器將宿主機(jī)根目錄掛載到容器中

查看容器內(nèi)掛載的宿主機(jī)根/目錄信息