Vulnhub-Potato

By zwsoc

本次靶机是vulnhub的potato，

地址(https://download.vulnhub.com/potato-suncsr/potato-suncsr.ova)，下载好以后在虚拟机软件中打开（本人使用的是vmware），设置为nat模式，同kali在同一网段下以后，可以用sudo arp-scan -l，探测到其ip地址。

1、nmap做扫描探测

2、在扫到端口开放情况后，用-A针对这俩端口进行一次扫描，ubuntu系统，有web服务，7120是他的ssh服务。

3、访问网页，只有一个大土豆的图片

4、分别用了dirb和dirsearch对目录做了一个简单的扫描，可以访问到的只有index.html以及info.php

+ http://192.168.72.156/index.html (CODE:200|SIZE:654)                                            

+ http://192.168.72.156/info.php (CODE:200|SIZE:87513)                                            

+ http://192.168.72.156/server-status (CODE:403|SIZE:294)

5、查看info.php中可能存在的一些信息，一般可以看下根路径、ip、还有一些配置的开启情况。这边发现是符合本地文件包含的条件的，但是翻遍现有的源代码没有找到可以利用的参数。猜测是否是在hosts文件中绑定potato.com会扫到新的目录文件，但是也同样无果。

解释：

allow_url_fopen = On

是否允许将URL（如http：//或ftp：//）作为文件处理。

allow_url_include = Off

是否允许include/require打开URL（如http：//或ftp：//）作为文件处理。

6、暂时是找不到利用点了，想到还开启了ssh服务，干脆爆破一波，账号我这边是直接对potato进行了爆破，也可以用自己找的用户名字典，只需要将hydra -l 用户名变成 hydra -L 字典.txt即可。爆破成功：potato/letmein

7、这边也是成功ssh登录，不过vulnhub的部分旧的靶机似乎普通用户这里没有flag。

8、想想提权操作，这边发现没有安装sudo命令

去看是否有suid提权的点，以下命令结合gtfobins网站，暂时利用不了

9、然后uname -a直接看能否内核提权

在exploit-db这个网站发现一个3.13.0版本到3.19版本的提权脚本，感觉可以，直接下载进行尝试。

10、这里我用了静态编译，直接加-static即可。因为可能目标机器的glibc版本不支持。（下图是直接编译以后，目标机器的提示，无法正常执行）

在kali中编译好以后，开启web服务

1. 在目标机器wget下载好以后，chomd 777给执行权限，直接执行，提权成功

最终flag值为SunCSR.Team.Potato.af6d45da1f1181347b9e2139f23c6a5b