靶机渗透日记 Trollcave

1. IP
   

2. 端口
   

3. 访问80端口
   

   右侧出现了用户，点击 xer 用户，url栏如下

   

   我们尝试更改 /users/ 后的值，发现此处存在用户遍历，修改成 1 时，用户是 King 为 superadmin 权限，修改成 2 时，用户是 dave 为 admin

   

   有一篇文章提到了关于重置用户密码

   

   访问 192.168.154.134/password_resets 提示不存在，扫描后得到路径

   

   尝试修改用户 king 和 dave 发现修改不成功，提示只能修改普通用户，我们修改 xer 用户，此时返回链接

   

   我们访问该url，修改 xer 用户的密码，登陆后发现存在文件上传功能，但是不能使用

   此时我们将重置密码的链接中的name更改为King,发现可以更改superadmin用户的密码

   http://192.168.154.134/password_resets/edit.WdanT0G26xaRuPYoL6X-Aw?name=King
   

   登录后可以将上传功能启用,上传 php 文件没有解析,并且可以通过修改file name的值使文件是上传到不同的路径

   

   King 用户可以看到更多的文章,其中可以得知web运行的是 rails 框架,并且可能存在用户 rails

   https://github.com/rails/rails

   

4. 生成ssh密钥,上传 authorized_keys 到 rails 用户下的 .ssh 就可以免密码登录 ssh

   ssh-keygen -f rails
   

   

5. 将rails.pub上传至 /home/rails/.ssh/authorized_keys

   

6. ssh连接

   chmod 600 rails
   ssh -i rails rails@192.168.154.134
   

   

7. CVE-2017-16995提权
   

   gcc 44298.c -o shell
   

   靶机中下载运行后得到root权限

   

标签：King,Trollcave,用户,rails,修改,ssh,靶机,上传,日记
来源： https://blog.csdn.net/qq_47709391/article/details/122769117