Cherry靶机摸索过程

• 地址

  信息收集

• 使用nmap发现主机，并扫描该主机所有端口
  
  

2. 访问80端口的web页面，未发现疑点
   
   
3. 访问7755端口 ，同样是一张图，无疑点
   
   
4. 使用kali中的cewl工具获取关键词备用
   
   
5. 使用御剑爆破目录，发现2个敏感目录
   
   

漏洞探测

6. 打开info.php，发现只能下载，是一个phpinfo的文件，感觉没用。
   
   
   
7. 打开backup，403禁止访问
   
   
8. 对7755端口也尝试御剑爆破目录，发现同样的目录
   
   
9. 打开7755端口的info.php，发现可以访问，可以查看phpinfo的信息
   
   
10. 打开7755端口的backup，发现可以访问

11. 访问backup下的command.php，虽然页面什么都没有，但是可以通过抓包发现存在注释<!-- </?php echo passthru($_GET['backup']); ?/> -->

命令执行

12. 查了一下passthru()这个函数，可以执行命令，于是构造URL通过?backup=传入参数

13. 因为可以命令执行，所以反弹Shell，但是未成功

14. 尝试nc反弹，无效果

15. 尝试php反弹shell，无效果

16. 反弹好像不行，查看了一下python的环境，发现返回空信息

17. 查看bash的运行目录，查看发现存在python的运行环境

18. 使用python运行目录再执行反弹shell，成功，通过查询python，发现在/bin/sh下无法执行python，确定之前反弹shell确实是因为运行环境问题

提权

19. 因为该靶机的flag在root文件夹下，所以需要将当前的www-data用户提升权限到root，搜索互联网上的提权教程，发现常见的有:

    • 内核提权
    • SUID提权
    • sudo提权
    • 配置错误提权
    • 定时任务提权
    • 密码复用提权
    • 来源：Linux提权总结
20. 查看内核版本，使用的是已修复的内核版本，无法使用内核提权
    
    
21. 尝试使用SUID提权，首先使用find / -perm -u=s -type f 2>/dev/null或find / -perm -g=s -type f 2>/dev/null查看一下查找带有SUID/SGID权限的文件
    
    
22. 在https://www.freebuf.com/articles/system/244627.html找到了可以使用setarch提权
    
    
23. 输入提权命令，提权成功
    
    
24. 切换到root文件夹，发现FLAG
    
    

《Cherry靶机摸索过程》链接：https://xdym11235.com/archives/34.html
具体版权规定详见侧栏版权说明页面