攻防靶场(35)：提权之suid、systemd、lxd [InfosecPrepOSCP]

靶场下载地址：https://www.vulnhub.com/entry/infosec-prep-oscp,508/

1. 侦查

1.1 收集目标网络信息：IP地址

靶机启动后，直接获得IP地址。

1.2 主动扫描：扫描IP地址段

对靶机进行全端口扫描、服务扫描、版本扫描，发现22/SSH、80/HTTP、33060/TCP。

1.3 主动扫描：字典扫描

扫描80/HTTP的目录和页面

在robots.txt文件中发现secret.txt文件

secret.txt文件是一串base64编码的字符串

解密后是SSH私钥

2. 初始访问

2.1 有效账户：本地帐号

使用私钥可以登录oscp帐号

获得oscp用户权限

3. 权限提升

3.1 滥用特权控制机制：Setuid和Setgid

bash命令具有root用户的suid权限

bash命令能够用于提权

最终获得root用户权限

3.2 创建或修改系统进程：Systemd服务

/home/oscp/ip 脚本有些可疑，因为里面的命令，oscp用户是没有权限执行的

猜测root用户会自动执行，但未找到对应的计划任务，使用pspy工具也未发现对应的系统进程，最终在 /etc/systemd/ 目录中找到了对应的自启服务。

oscp用户有 /home/oscp/ 目录的execute权限，可以强制修改目录中的文件，即使没有文件的write权限

添加反弹shell后重启靶机，可以获得root用户权限

3.3 利用漏洞提权：LXD程序

oscp用户是lxd用户组的成员，可以通过创建特权容器实例并挂载宿主机磁盘的方式，读取宿主机中的任意文件

初始化LXD程序

获取 Alpine Linux 镜像，上传到目标靶机中，并导入到LXC中

使用 Alpine Linux 镜像，创建容器实例，并以特权模式运行

在容器实例中挂载宿主机磁盘

启动容器实例，在容器中执行返回shell的命令，获得容器权限

在容器中读取宿主机中的任意文件