vulnhub靶场之LOOZ: 1

准备：

攻击机：虚拟机kali、本机win10。

靶机：looz: 1，下载地址：https://download.vulnhub.com/looz/Looz.zip，下载后直接vbox打开即可。

知识点：可疑文件提权、hydra爆破、dns解析、polkit漏洞提权（CVE-2021-4034）。

信息收集：

通过nmap扫描下网段内的存活主机地址，确定下靶机的地址：nmap -sn 192.168.110.0/24，获得靶机地址：192.168.110.67。

扫描下端口对应的服务：nmap -T4 -sV -p- -A 192.168.110.67，显示开放了22、80、3306、8081端口，开启了ssh、http、mysql服务。

访问下http服务：http://192.168.110.67/，并检查源代码信息，发现一组账户信息：jphn/y0uC@n'tbr3akIT，说是wp的登录账户。

目录扫描：

使用dirmap对：http://192.168.110.67/和http://192.168.110.67:8081进行目录扫描，发现了一个登录地址：http://192.168.110.67:8081/wp-login.php。

DNS解析：

使用获得账户信息：jphn/y0uC@n'tbr3akIT在http://192.168.110.67:8081/wp-login.php进行登录，但是发现跳转到了wp.looz.com进行了报错。

因此我们需要添加dns解析。win：打开C:\Windows\System32\drivers\etc\hosts文件，添加：192.168.110.67 wp.looz.com，添加之后使用账户信息：jphn/y0uC@n'tbr3akIT在http://192.168.110.67:8081/wp-login.php，成功登录到管理界面。

获取shell：

在管理界面中发现了另一个管理员账户：gandalf，那就使用hydra进行此账户的密码破解，时间比较久，差不多两个小时。最终成功获得密码：highschoolmusical。

使用获得账户和密码信息：gandalf/highschoolmusical进行ssh登录，成功获得shell权限。

在alatar目录下发现了user.txt文件，读取该文件信息成功获得flag值并且在该目录下的Private目录中找到了可疑文件shell_testv1.0。

可疑文件提权：

在查找第一个flag的时候发现了一个可疑文件：/home/alatar/Private/shell_testv1.0，显示当前账户可执行且具有root权限，直接执行该脚本直接获得root权限并在/root目录下发现root.txt文件并读取flag值。一般是通过：find / -perm -4000 -type f 2>/dev/null来查找可疑文件的。

polkit漏洞提权：

那我们查看当前用户下具有root权限的可执行文件都有哪些，命令：find / -perm -4000 -type f 2>/dev/null，发现了：/usr/lib/policykit-1/polkit-agent-helper-1，那可能存在polkit漏洞。经验证这里的polkit漏洞是CVE-2021-4034。上传该漏洞的exp直接执行即可获得root权限。exp链接：https://pan.baidu.com/s/1TEfF3J2v1TOxeA2Jg_XMSg，提取码：upfn。