信息搜集

端口搜集

首先通过nmap扫描靶机，发现两个端口22和3000，其中3000是一个web服务

通过dirsearch发现两个可以目录，居然是nodejs的项目

web服务搜集

顺便记录下首页出现的三个用户名tomcat、mark、rastating

简单在github上面搜索下最关键的特征词发现没有这个项目

源码泄漏

f12发现下面疑似接口泄漏

但是点进去发现原来是故意给了源码啊

用户信息泄漏

简单访问一下发现泄漏了用户名和密码

之后发现去掉latest以后还出现了admin

admin密码撞库拿到了密码manchester，拿着这个去登陆

admin用户登陆

发现登陆后有个下载备份

看了下请求信息，发现是get请求并且无传参，看来无法任意文件下载

获得备份文件

直接修改为zip发现打不开

直接打开发现是疑似base64

果然是，然后还发现有密码

爆破密码

用archpr发现爆破一年应该不能爆破，尝试下用rockyou字典得到了密码magicword

成功获取源码

数据库配置信息泄漏

发现敏感信息泄漏mark:5AYRft73VtFpc84k

登陆ssh

按照套路，尝试使用用户mark登陆ssh，登陆成功

whoami发现是普通用户权限

提权

尝试寻找特权指令

查看有无特权指令

尝试suid提权-pkexec成功

尝试suid提权,发现pkexec，联想到前段时间的pkexec本地提权

影响版本

1
2
3
4
5
6
7
8
9
10
11
12
13

CentOS系列：    
	CentOS 6：polkit-0.96-11.el6_10.2    
	CentOS 7：polkit-0.112-26.el7_9.1       
	CentOS 8.0：polkit-0.115-13.el8_5.1      
	CentOS 8.2：polkit-0.115-11.el8_2.2        
	CentOS 8.4：polkit-0.115-11.el8_4.2      

Ubuntu系列：   
	Ubuntu 20.04 LTS：policykit-1 - 0.105-26ubuntu1.2  
	Ubuntu 18.04 LTS：policykit-1 - 0.105-20ubuntu0.18.04.6  
	Ubuntu 16.04 ESM：policykit-1 - 0.105-14.1ubuntu0.5+esm1  
	Ubuntu 14.04 ESM：policykit-1 - 0.105-4ubuntu3.14.04.6+esm1  

发现版本对上了

网上下个pochttps://github.com/berdav/CVE-2021-4034，提权成功

获取交互式shell

1

python -c 'import pyt;pty.spwan("/bin/bash")'

获取flag

一个是在/root/root.txt ;

另一个是在/home/tom/user.txt;