Corrosion:1
博客地址:https://www.cnblogs.com/MrSoap/p/17965221
项目地址:https://download.vulnhub.com/corrosion/Corrosion.ova(占用太大懒得下)
是一个打包好的镜像文件
注意:导入 ova 时一定要选择我已移动,否则没网
使用 Nmap 扫描出开放服务及操作系统版本

文件包含
file
扫描目录

访问 host/blog-post,没有发现有用信息

对 host/blog-post 目录再次进行扫描

访问 hosst/blog-post/archives/,发现 randylogs.php,直接点击打开是空白的

FUZZ 出参数

存在文件包含漏洞

根据前面 tasks_todo.txt 的提示,我们在 /var/log/ 下发现了 auth.log
1 | http://192.168.226.128/blog-post/archives/randylogs.php?file=/var/log/auth.log |
22 端口是 SSH 服务的端口号,我们将反弹 Shell 注入 auth.log 中

提权
敏感信息泄露
在 /var 下发现 backups

在 kali 中解压,发现需要密码,使用 fcrackzip 进行爆破,使用 /usr/share/wordlists/rockyou.txt 字典
得到密码 !randybaby
然后输入密码,即可解压。解压后发现文件 my_password.txt,猜测是用户 randy 的 SSH 连接密码,登陆成功

/etc/sudoers 配置不当
检查权限可以运行 easysysinfo

环境变量劫持
我们上面解压后也得到 easysysinfo.c,查看一下,发现 easysysinfo 会调用 cat,而且没有使用绝对路径
那么我们就可以打环境变量劫持

