攻防靶场(29)：目录权限和文件权限 ICMP

1. 侦查

1.1 收集目标网络信息：IP地址

靶机启动后，没有提供IP地址。由于Kali和靶机在同一个C段，可以扫描ARP协议获取靶机IP地址。

1.2 主动扫描：扫描IP地址段

对靶机进行全端口扫描、服务扫描、版本扫描，发现22/SSH、80/HTTP。

1.3 搜索目标网站

访问80端口，发现是1.7.6m版本的Monitorr应用。

2. 初始访问

2.1 利用面向公众的应用

使用searchsploit发现1.7.6m版本的Monitorr存在文件上传漏洞，可上传反弹shell并执行。

最终获得www-data用户权限。

3. 权限提升

3.1 有效账户：本地账户

在fox用户的家目录/home/fox/下，reminder文件提示存在crypt.php文件，但在服务器中并未find到。

大胆猜测crypt.php文件在fox用户家目录下的devel目录内，因为www-data用户在devel目录的权限是--x，无法ls查看devel目录内有什么文件。

不过如果知道devel目录内的文件名，还是可以正常对文件进行rwx操作的。

使用stat或ls确认devel目录内存在crypt.php文件，权限是r--，内含一串字符，可用于ssh登录fox用户，最终获得fox用户权限。

3.2 滥用特权控制机制：Sudo和Sudo缓存

fox用户可以使用root用户的权限执行 hping3 --icmp * 命令，该命令可用于提权，以root用户权限查看任意文件。

查看 /etc/shaodow 文件，获得root用户的ssh密码密文，但无法解密。 查看 /root/.ssh/id_rsa 文件，获得root用户的ssh私钥，可以ssh登录root用户。

最终获得root用户权限。