希望和各位大佬一起學(xué)習(xí)，如果文章內(nèi)容有錯(cuò)請(qǐng)多多指正，謝謝！??

個(gè)人博客鏈接：CH4SER的個(gè)人BLOG – Welcome To Ch4ser's Blog

DarkHole?靶機(jī)下載地址：DarkHole: 1 ~ VulnHub

0x01 信息收集

Nmap掃描目標(biāo)主機(jī)，發(fā)現(xiàn)開放22、80端口，分別運(yùn)行OpenSSH 8.2p1、Apache httpd 2.4.41服務(wù)。

訪問80端口界面如下。Wappalyzer顯示編程語言為PHP，操作系統(tǒng)為Ubuntu。

0x02 Web漏洞利用 -?任意密碼重置

點(diǎn)擊右上角Login >> 點(diǎn)擊Sign up now >> 注冊(cè)用戶ch4ser

登錄用戶ch4ser修改Password，BurpSuite抓包觀察到id=2

修改id=1發(fā)包，成功修改管理員admin密碼為123456，此處存在任意用戶密碼重置漏洞。

登錄admin用戶，嘗試上傳webshell，但此處存在黑名單限制，利用特殊后綴.phtml成功繞過。

webshell路徑為：http://192.168.196.136/upload/1.phtml

哥斯拉連接成功，得到Web權(quán)限www-data

0x03 內(nèi)核提權(quán) -?Pwnkit (CVE-2021-4034)

利用哥斯拉PMeterpreter模塊將Shell反彈到MSF以便后續(xù)操作

上傳內(nèi)核漏洞輔助探測(cè)腳本linux-exploit-suggester.sh至目標(biāo)主機(jī)/tmp目錄下，給予執(zhí)行權(quán)限執(zhí)行。

?輔助項(xiàng)目下載地址：https://github.com/The-Z-Labs/linux-exploit-suggester

得知系統(tǒng)為Ubuntu 20.04，內(nèi)核版本為5.4.0，檢測(cè)到[CVE-2021-4034] PwnKit，并給出了EXP下載地址，但MSF收集有這個(gè)漏洞，直接搜索即可。

?

MSF搜索CVE-2021-4034，使用payload：exploit/linux/local/cve_2021_4034_pwnkit_lpe_pkexec

設(shè)置session并run，成功拿下root權(quán)限，隨后得到/root目錄下的flag。