GetRoot-文件包含2

0x00前言
  本篇文章为CTF学习记录系列第四篇，主要内容为上篇文件包含-1的提权过程。涉及知识点：低权限shell提权到root终端等，关于靶场，玩法不一，以下只是本人的一次学习过程，不喜勿喷。
0x01环境
  攻击机(kali)：192.168.3.104
  靶机(Ubuntu)：192.168.3.103
  ps：切换了WiFi，所以ip地址发生变化
0x02工具：
  nmap、nikto、dirb、VMware
0x03过程
  补充：
  在文件包含-1中，直接在数据库写入php代访问页面反弹shell是失败的，
  尝试用msf控制台监听方法,先插入代码到数据库

  成功插入代码

  浏览器访问，控制台监听没有反应，方法失败。
  上次渗透，已经成功反弹了终端
  
  接下来看看提权，重新获取反弹shell后
  基于内核提权
  在目标服务器中，系统可能存在内核版本漏洞却没有打补丁的情况，可以加以利用实现提权。查看系统发行版本及内核版本，shell下输入命令uname -a与cat /etc/*-release

  使用kali自带的searchsploit工具搜索内核漏洞
  
  没有结果。
  基于定时任务提权
  在目标服务器中，可能存在一些定时执行的任务，可以上传脚本替换定时执行任务的内容，等待其自动执行。输入命令cat /etc/crontab查看定时任务

  发现不存在非root权限可执行的定时任务。
  基于密码提权
  尝试读取 /etc/passwd以及/etc/shadow文件
  结果：没有足够的权限查看shadow文件，passwd可查看，无法使用暴力破解工具破解密码。
  从密码复用角度搜集信息，尝试是否能够获得一些密码此时带有提示信息的文件以及配置文件都值得留意。
  使用python脚本命令反弹终端
  
  当前用户为zico，上次已经使用过一些密码尝试查看执行sudo权限的命令，皆以失败告终。这次遍历目录，进行信息收集。
  查看当前位置，并输入ls -alh
  
  尝试进入root，果然，提示权限不足
  进入home，发现zico用户，进入查看
  
  账户开放ssh，然而并不能知登录密码，我们打开to_do.txt查看是否存在提示
  
  按照提示，我们先进入joomla目录
  
  发现web.config.txt，打开后，并不存在敏感信息。
  来看第二个bootstrap.zip，应该是关于站点bootstrap的相关代码
  先看第三个wordpress
  
  发现wp-config.php，打开
  
  发现以zico为用户名的数据库登录密码sWfCsfJSPV9H3AmQzw8，也许这个就是zico用户的登录密码，尝试远程登录
  
  登录成功
  基于命令提权
  通过一些可执行的sudo命令，执行特殊命令也可以实现提权。查看可执行的sudo命令

  结果为tar、zip
  这里使用zip命令进行提权
  使用touch命令创建一个空白文件exploit
  然后输入命令
  sudo -u root zip exploit.zip exploit -T --unzip-command="sh -c /bin/bash"
  
  提权成功，查看root目录
  
  成功获取到flag

0x04总结
  FLAG一般都存在root目录下，渗透的目的在于夺取root目录下FLAG值，即提权到root权限。
  此次渗透，主要是记录一下关于提权操作学习过程。

作者：WebDogC