vulnhub -- hacksudo: Thor

靶机下载地址：下载链接
这里通过arp-scan -l来发现主机，主机IP地址：10.0.2.7

信息搜集

namp对IP地址进行端口扫描（开放21,22,82端口）

通过80端口访问，首页是一个登录页面，尝试用弱密码进行登录一下，发现不能登录成功

接着访问一下其他页面，发现concat下有一些基本信息（可以搜集尝试登录，但无果），其他页面也没有什么有用信息

接下来用dirsearch进行目录扫描，可以发现有一些文件可以访问 README.md以及还有一个后台登录页面

查看README.md文件，发现这个网站是作者在GitHub上面发布了源代码的，同时这里面有一个用户名为admin的账号密码

尝试登录home.php，发现还是错误，但是我们还有一个后台登录，发现是administrator登录的

用admin和password123登录，发现登录成功

然后进一步点击发现应该存在SQL注入和逻辑漏洞，但是无法得到root权限，前面扫描中还有一个重要信息，是有一个cgi-bin的目录，但是响应码是403，应该是权限不能够访问（存在CGI接口，有可能用shell脚本来处理客户端提交的数据和请求，就有可能条用cgi-bin/目录下的shell脚本来处理），所以，这里再扫描一下cgi-bin/目录下的sh,cgi这样的文件，发现有两个文件

漏洞发现

通过nmap的脚本shellshock来检测是否存在漏洞

漏洞利用

发现这个漏洞可以利用，并且还有CVE编号，可以直接采用网上的exp来获取shell，这里用shell脚本，来写一个用bash来执行的函数，并且查看是否有nc

有nc之后，将命令换成nc反弹的命令

成功反弹shell

权限提升

通过sudo -l，可以发现一个thor用户，

再用/etc/passwd查看一下用户，发现thor可以执行bin/bash

可以通过/home/thor/./hammer.sh进入thor用户，并且需要输入一些什么，尝试都输入有关系统的命令，发现可以执行

然后输入bash，执行thor用户的shell

同理查看一下sudo -l，发现再不用密码的情况下可以执行两个命令

这里可以用cat命令来查看/etc/shadow，然后来爆破root账户，还可以通过service来提权
关于利用操作系统权限配置不当来提权的相关操作：https://gtfobins.github.io/

总结：主要突破点shellshock破壳漏洞以及GTFOBins提权