vulnhub-Cengbox2

前言：

kali：192.168.1.4

目标机：192.168.1.35

信息收集：

漏洞挖据：

从扫描信息来看，ftp可以匿名登录，登录后获取文件note.txt，内容如下：

这是个提示，ceng-company.vm是个域名。先IP访问后，页面如下：

分析源码也没有任何用处，爆破文件，也没有任何收获（图略）。修改host文件，添加如下：

访问后依然如上图，爆破文件依然没有收获。既然有域名，会不会存在子域名，注意，不要使用subDomainsBrute，它是真的去DNS服务器爆破子域名，在这里没用。因为这个原因我卡了很久，后来看了人家的博客才知道，这里使用发送请求到目标机的方式爆破，同时也发现wfuzz工具好像挺好用的，爆破命令为：wfuzz -w 字典 -u ceng-company.vm -H 'Host: Fuzz.ceng-company.vm'。发现admin.ceng-company.vm有用，因为事出有反必有妖。

修改host文件，内容如下：

因为访问后是403状态码，但也别急，使用dirbuster爆破目录看看是否存在可用文件，结果如下：

发现一个gila cms，

本来想看看存不存在一直漏洞，但是突然想起前面note.txt文件中提到是默认密码，可以尝试后台登录。用户名是邮箱，密码默认，现在去找找有没有邮箱信息，然后再试试弱密码。但是页面上没有任何邮箱，而且已知漏洞没有任何利用点。看样子是必须登录了。登录如下：

登录成功后，接下来就是getshell。选择administrator，然后选择themes，选择编辑。

进入后，点击上一页，一直返回至无法返回为止，该页面可以编辑模板，也可以上传文件。此处使用上传文件，因为修改模板后，该网站全都用不了。在最上层上传无法写入，因此到tmp文件夹下上传。

此时访问为403状态码，这里要做点手脚，把.htaccess文件删掉（图略），删内容没有权限，然后再访问。

说实话，在这个地方真的是卡了好长时间，后来才发现.haccess文件。

提权：

在home文件，发现两个用户文件，其中在swartz用户文件夹下，其他人可读可执行，并且发现文件runphp.sh，其他人具有可读可执行权限。而所属主为swartz，也许可以借助它提权至swartz。

查看源码后，就是打开一个php的交互，可以使用它反弹一个shell。

这下就可以执行系统命令了，突然一想，等等，这个脚本没有跨域，不可能借助它提权到swartz。再想想其他办法，因为是中等难度，我想现在应该不会让系统漏洞提权，于是剩下sudo -l和找带“s”的文件。尝试使用sudo -l。

可以无密码使用runphp.sh，并且以swartz的身份运行，这下就可以尝试提权了。

反弹shell报错，所以没办法反弹。

但是可以直接调用bash，提权就是调用该用户的bash。

成功提权后，任何命令执行没有回显。这个bash调用了个啥，但是仔细一想，提权思路没错，应该是函数用错了，可以使用其他函数看看。使用system函数代替exec函数，之后就有了回显。

前面的id命令，发现swartz用户所属组为developers，因此对该文件有可读可执行权限，先进入mitnick文件夹，列出所有文件，最引人注目的就是.ssh文件，所属组具有可读可执行的权限，这好像是在暗示我通过ssh连接提权至mitnick。

列出.ssh所有文件后，这简直就是明示啊，我可以读取私钥，然后进行ssh连接。

复制到本地，创建文件，赋权600（图略），然后进行ssh连接。但是这个私钥也需要密码呀，可以使用john爆破一下。

先将私钥转化一下，然后开始使用字典爆破。

使用ssh连接，提权至mitnick。

不是最高权限。看连接的提示可以使用sudo执行root命令。但sudo执行需要密码。突然想起有个user.txt，应该是个flag。

现在sudo -l用不了，系统漏洞概率不到，只能先看看有没有可以利用的文件。权限目前到这，最高权限卡了很久，后来看了别人的博客才发现，我的带s的文件压根没有find命令，没有办法提权，at命令所属主也不是root，因此没有办法提权，或许有其他方法吧。就先到这。