本篇文章僅用於技術交流學習和研究的目的，嚴禁使用文章中的技術用於非法目的和破壞，否則造成一切後果與發表本文章的作者無關

靶機是作者購買VIP使用退役靶機操作，顯示IP地址為10.10.10.6

nmap -sC -sV -p- -Pn -oN popcorn.nmap 10.10.10.6

nmap掃描結果

就開了兩個埠，我們直接訪問80埠

爆破下目錄

訪問目錄torrent

經過測試這裡存在萬能密碼，使用萬能密碼直接登入成功，當然這裡也是可以直接註冊一個使用者然後登入進去

進去之後是個上傳頁面，需要上傳torrent的檔案，在谷歌上隨便搜尋了一個這類的檔案上傳並使用burpsuite抓包

發現上面有個Edit this torrent 點選進去之後可以上傳圖片，正常上傳了一個圖片是沒問題，但是上傳一個php格式的檔案，顯示無效，嘗試上傳繞過，最終確認只需要使用burpsuite在上傳的時候更改Content-Type的格式為image/png 等圖片格式即可繞過，最後我使用https://github.com/pentestmonkey/php-reverse-shell 上傳php ，然後通過burpsuite抓包更改Content-type成功上傳檔案，上傳成功之後猜測上傳目錄是upload 最終上傳成功後的地址：10.10.10.6/torrent/upload

訪問我們上傳的反彈shell程式碼成功反彈shell

升級為tty-shell

通過下面命令查詢家目錄有價值的資訊

find /home -printf "%f\t%p\t%u\t%g\t%m\n" 2>/dev/null |column -t

發現了隱藏檔案.cache 含有motd等關鍵字，可以進行提權，提權前確認下資訊

確認可以提權，提權相關的exploit

https://www.exploit-db.com/exploits/14339

https://www.exploit-db.com/exploits/14273

大概原理清楚就可以，我這裡手動利用此漏洞，通過上面提供的exploit有點問題，沒成功，所以就自己直接手動搞，具體如下：

建立兩個目錄.ssh和.cache

在目標靶機上生成ssh 可以的金鑰和公鑰

上述一直敲擊3個回車即可，生成完成之後更改對應公鑰名稱和許可權然後嘗試本地登入是否成功，確認沒有問題

確認上登入沒有問題，退出登入檢視當前/etc/passwd的許可權，然後嘗試觸發漏洞，最終的目的是將/etc/passwd檔案的擁有人和擁有組都改成當前靶機的使用者，然後就可以通過新增uid為0的使用者進行提權

上述是刪除原有的.cache檔案，然後建立軟連線到/etc/passwd 確認沒有問題之後開始觸發漏洞，觸發漏洞很簡單，就是再登入一次剛才使用金鑰登入的使用者即可

上述觸發成功，發現/etc/passwd的許可權已經被更改為www-data，那麼就可以使用當前使用者直接更改此檔案新增使用者進行提權，下面是新增使用者提權的操作

增加使用者提權
www-data@popcorn:/var/www$ openssl passwd bmfx
DcqfpgDB7cBZU
www-data@popcorn:/var/www$ echo "bmfx:DcqfpgDB7cBZU:0:0:root:/root:/bin/bash" >> /etc/passwd

其他漏洞提權

https://www.exploit-db.com/exploits/15704

https://www.exploit-db.com/raw/40839

上述兩個exploit下載到目標靶機直接gcc編譯即可執行提權成功，不演示了