背景描述：随着网络安全形势日益严峻，安全攻击层出不穷，同时，随着业务数据的价值越来越高，数据泄露、页面篡改、黑链等安全事件使得企业系统所面临的安全威胁随之增大，造成的损失愈发严重。安全厂商的安全防护产品也是各显神通，攻防升级不断加剧，对抗手段、成本都在提升。而作为企业，该如何防护自身的安全风险，除了上各种安全设备，出台一系列管理制度，加强员工的安全意识，也需培养相应的安全人才，并对攻击者的攻击手段有所了解，才能防患于未然。所谓知己知彼，百战不殆。

本文从攻击者角度，讲述如何拿下一台目标主机管理员权限。所使用工具、技术皆为攻防研究所用，切勿用于黑灰产行业，渗透千万条，安全第一条，操作不规范，亲人两行泪！

靶机难度：初级

靶机地址

靶机ip：192.168.1.108

靶机描述：目标为拿下主机的root权限，共有2个flag

用到的知识点、工具和漏洞：

• Nmap端口扫描

• XFF头篡改

• Burpsuit

• Dirbuster目录扫描

• 越权

• Hydra ssh爆破

• Php提权

主机探测：netdiscover-i eth0 -r 192.168.1.0/24

端口探测及服务识别：nmap-sS -sV -T5 -A 192.168.1.108

当前靶机开放了22和80端口，首先以80的web服务为突破口。

Ofcourse 先扫波目录，这里使用的kali自带的dirbuster

/misc和/config目录下没发现啥有用的信息，先看下首页有啥

提示本站点只能本地访问，估计是通过XFF头进行绕过，这里推荐一个火狐插件HeaderEditor,安装后添加XFF字段

之后再访问就正常了

首页关注到了url中page参数，是否存在文件包含或文件读取，进行了多次尝试无果。于是注册了1个用户登录进去看看有什么发现

Profile点进去似乎是一个修改密码的界面

在这里发现了一个关键参数user_id=14(url中的参数)，试着去更改该数值，真是喜从中来呀

用户信息就变了，确定这里存在越权，通过该越权漏洞可以枚举出所有的用户信息，我这里刚注册的用户id数为14，那么我枚举出id1-13的所有用户，这里用burpsuit抓包传到intruder进行枚举

将用户名及密码信息分别整理存放，下一步可将该信息用于SSH爆破，看是否能爆出用户名密码

接下来使用hydra进行爆破

hydra-L user.txt -P pass.txt 192.168.1.108 ssh

得到一对用户名密码，接下来使用ssh登录上去

接下来看看home目录下有啥东西，

发现一个.my_secret目录，进去找到了第一个flag

目前只是拿到了低权限账号，下面要进行提权，提权可通过几种途径

• Sudo -l 查询具有sudo权限命令，然后提权

• SUID提权,find / -perm -u=s -type f 2>/dev/null

• 通过在/etc/passwd添加一个root权限的账户进行提权,

• find / -writable -type f 2>/dev/null 查找可利用的可写文件

• 内核提权

• 其他

这里使用sudo-l 查询有哪些sudo权限命令

这里需通过php提权

可通过上述命令进行提权

拿到root权限后，读取最后一个flag