今天是一題 PG play 的 easy 題
先來看看他是甚麼樣的題目ㄅ
# Nmap 7.95 scan initiated Sat Sep 20 01:37:28 2025 as: /usr/lib/nmap/nmap --privileged -vvv -p 22,80 -4 -sC -sV -o scan_result.txt 192.168.206.142
Nmap scan report for 192.168.206.142
Host is up, received reset ttl 61 (0.074s latency).
Scanned at 2025-09-20 01:37:29 EDT for 11s
PORT STATE SERVICE REASON VERSION
22/tcp open ssh syn-ack ttl 61 OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
| ssh-hostkey:
| 2048 3e:a3:6f:64:03:33:1e:76:f8:e4:98:fe:be:e9:8e:58 (RSA)
| ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDS8evJ7ywX5kz396YcIuR+rucTJ/OAK1SSpQoyx6Avj3v1/ZeRvikDEBZRZE4KMV4/+LraxOvCIb0rkU98B5WME6IReWvGTbF99x6wc2sDCG5haD5/OI6At8xrEQPV6FL8NqipouEeYXU5lp/aR7vsdJAs/748uo6Xu4xwUWKFit3RvCHAdhuNfXj5bpiWESerc6mjRm1dPIwIUjJb2zBKTMFiVxpl8R3BXRLV7ISaKQwEo5zp8OzfxDF0YQ5WxMSaKu6fsBh/XDHr+m2A7TLPfIJPS2i2Y8EPxymUahuhSq63nNSaaWNdSZwpbL0qCBPdn1jtTjh26fGbmPeFVdw1
| 256 6c:0e:b5:00:e7:42:44:48:65:ef:fe:d7:7c:e6:64:d5 (ECDSA)
| ecdsa-sha2-nistp256 AAAAE2VjZHNhLXNoYTItbmlzdHAyNTYAAAAIbmlzdHAyNTYAAABBBPFPC21nXnF1t6XmiDOwcXTza1K6jFzzUhlI+zb878mxsPin/9KvLlW9up9ECWVVTKbiIieN8cD0rF7wb3EjkHA=
| 256 b7:51:f2:f9:85:57:66:a8:65:54:2e:05:f9:40:d2:f4 (ED25519)
|_ssh-ed25519 AAAAC3NzaC1lZDI1NTE5AAAAIBprcu3jXo9TbgN5tBKvrojw4OFUkQIH+dITgacg3BLV
80/tcp open http syn-ack ttl 61 Apache httpd 2.4.38 ((Debian))
|_http-server-header: Apache/2.4.38 (Debian)
|_http-title: Gaara
| http-methods:
|_ Supported Methods: HEAD GET POST OPTIONS
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
Read data files from: /usr/share/nmap
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
# Nmap done at Sat Sep 20 01:37:40 2025 -- 1 IP address (1 host up) scanned in 11.34 seconds
目前的攻擊面有
接下來看看http的內容
只有一個我愛羅的圖片而已
說不定可以以gaara作為拿去做 ssh 爆破,試試看!
結果爆破出來了,那接下來就是提權的部分
先看看sudo -l發現並沒有辦法跑
再來看看suid,那這個是甚麼?
簡單來說就是: Set UID (SUID);設置使文件在執行階段具有文件所有者的權限 引自:Link
那這邊我們可以利用以下指令查找到具有suid的檔案
發現了有一個gdb的檔案不太正常,有打過 CTF 的人就知道,他是一個動態分析的工具。
那這樣可以去找找有沒有相關的手法:GTFOBins
利用sudo部分的指令就可以提權成 Root 了
iThome鐵人賽
看影片追技術
看更多