IP

端口

访问80端口

右侧出现了用户，点击 xer 用户，url栏如下

我们尝试更改 /users/ 后的值，发现此处存在用户遍历，修改成 1 时，用户是 King 为 superadmin 权限，修改成 2 时，用户是 dave 为 admin

有一篇文章提到了关于重置用户密码

访问 192.168.154.134/password_resets 提示不存在，扫描后得到路径

尝试修改用户 king 和 dave 发现修改不成功，提示只能修改普通用户，我们修改 xer 用户，此时返回链接

我们访问该url，修改 xer 用户的密码，登陆后发现存在文件上传功能，但是不能使用

此时我们将重置密码的链接中的name更改为King,发现可以更改superadmin用户的密码

http://192.168.154.134/password_resets/edit.WdanT0G26xaRuPYoL6X-Aw?name=King

登录后可以将上传功能启用,上传 php 文件没有解析,并且可以通过修改file name的值使文件是上传到不同的路径

King 用户可以看到更多的文章,其中可以得知web运行的是 rails 框架,并且可能存在用户 rails

https://github.com/rails/rails

生成ssh密钥,上传 authorized_keys 到 rails 用户下的 .ssh 就可以免密码登录 ssh

ssh-keygen -f rails

将rails.pub上传至 /home/rails/.ssh/authorized_keys

ssh连接

chmod 600 rails
ssh -i rails rails@192.168.154.134

CVE-2017-16995提权

gcc 44298.c -o shell

靶机中下载运行后得到root权限