渗透测试之Wakanda_1

0x00 信息搜集

端口扫描：

访问80端口，查看源码，发现一个隐藏的超链：疑似文件包含漏洞
之后尝试文件包含，成功读取到index.php文件。
使用filter协议读取index源代码：
拿到一个密码，经过多次目录扫描，没有发现需要登录的页面，最后尝试登录ssh关于如何找到用户名：尝试root，admin等等常用的都不存在，在网页中发现一个疑似用户：
端口根据之前的扫描是3333，登录成功。
得到一个python的shell：

利用python弹出shell：得到flag1：

0x01 提权

之后查看到第二个用户：之后查看/home/devops下flag2.txt没有权限：用之前的密码，登录失败，GG
之后随意翻文件夹，看有没有用户信息，发现一个奇怪的文件：/tmp/test，这个文件创建时间间隔大约5分钟，可以猜测存在一个定时任务执行一个操作先搜索一波py文件：
找到一个隐藏的python文件：（之前还搜索了其他的文件夹，文件名）
其他用户存在写权限：之前执行太多搜索任务，磁盘全部占满，又新导入了一次虚拟机才能正常修改文件。之后可以通过修改定时py文件反弹shell获取第二个flag：利用pip安装漏洞提权:github
通过sudo -l查看用户拥有pip的使用权，这里存在一个pip安装提权漏洞：
在执行pip install时会调用setup.py，可以在本地创建恶意setup.py文件来达到任意命令执行的效果。
本地恶意setup.py(反弹一个root权限的shell)
通过http服务将文件下载到目标机器上：执行sudo pip install . --upgrade --force-reinstall就能获得root权限的反弹shell成功提权：