目录
该靶机是Sick0s系列的第二个靶机,总体来说不难,提权那里需要花点时间,毕竟linpeas脚本没有将计划任务标红,总之我个人尝试了很久内核提权,浪费了大量时间,而且不知道是web服务太不稳定还是我用的ESXI太旧了,web服务挂掉的次数太多了。通过PUT方法在test目录下写入webshell获取服务器权限,然后利用chkrootkit 0.49本地提权漏洞提升至root权限。
使用Nmap扫描目标主机发现开放22和80端口,分别运行着OpenSSH 5.9p1和lighttpd 1.4.28,操作系统为Ubuntu,如图:
访问80端口web服务,发现仅有一张图片,写着具有强烈暗示性的一句话:what if computer viruses are really made by the anti-virus softare companies to make money?如图:
扫描网站目录发现index.php文件和test目录等,如图:
访问这些文件和目录之后未发现有用的信息,使用Gogole搜索lighttpd 1.4.28相关漏洞发现CVE-2014-2323和CVE-2014-2324等,但未找到Poc和Exp。
直接上AWVS,发现存在PUT方法写文件漏洞,如图:
尝试创建php文件成功,如图:
访问/test/abc.php文件,成功执行php代码,如图:
将PUT数据直接改为冰蝎shell代码写入abc.php文件,如图:
使用冰蝎连接后,当前权限为www权限,如图:
权限提升 查看/etc/passwd文件发现系统存在普通用户john。使用提权辅助脚本发现操作系统为Ubuntu 12.04.4,内核版本为3.11.0-15-generic,如图:
尝试使用内核提权,目标主机缺少必要头文件,很多Exp编译失败,在本地编译之后上传到目标主机无法执行,而且web服务总是挂,让人很没耐心。
查看别人的writeup发现使用了chkrootkit提权,该工具在0.49版本存在本地提权漏洞,使用searchsploit搜索chkrootkit即可找到提权方法:echo "cp /bin/bash /tmp/bsh;chmod 4555 /tmp/bsh" > /tmp/update;chmod 755 /tmp/update
执行该命令,一段时间后执行/tmp/bsh -p即可获取root权限,如图:
总结对该靶机的体验很不好,提权过程中web服务总是挂掉,浪费了不少时间,但还是学到了chkrootkit 0.49本地提权方法。
