简介

????????该靶机是Sick0s系列的第二个靶机，总体来说不难，提权那里需要花点时间，毕竟linpeas脚本没有将计划任务标红，总之我个人尝试了很久内核提权，浪费了大量时间，而且不知道是web服务太不稳定还是我用的ESXI太旧了，web服务挂掉的次数太多了。通过PUT方法在test目录下写入webshell获取服务器权限，然后利用chkrootkit 0.49本地提权漏洞提升至root权限。

信息收集

????????使用Nmap扫描目标主机发现开放22和80端口，分别运行着OpenSSH 5.9p1和lighttpd 1.4.28，操作系统为Ubuntu，如图：

?????????访问80端口web服务，发现仅有一张图片，写着具有强烈暗示性的一句话：what if computer viruses are really made by the anti-virus softare companies to make money?如图：

????????扫描网站目录发现index.php文件和test目录等，如图：

????????访问这些文件和目录之后未发现有用的信息，使用Gogole搜索lighttpd 1.4.28相关漏洞发现CVE-2014-2323和CVE-2014-2324等，但未找到Poc和Exp。

漏洞发现

????????直接上AWVS，发现存在PUT方法写文件漏洞，如图：

????????尝试创建php文件成功，如图：

????????访问/test/abc.php文件，成功执行php代码，如图：

漏洞利用

????????将PUT数据直接改为冰蝎shell代码写入abc.php文件，如图：

????????使用冰蝎连接后，当前权限为www权限，如图：

权限提升?

????????查看/etc/passwd文件发现系统存在普通用户john。使用提权辅助脚本发现操作系统为Ubuntu 12.04.4，内核版本为3.11.0-15-generic，如图：

????????尝试使用内核提权，目标主机缺少必要头文件，很多Exp编译失败，在本地编译之后上传到目标主机无法执行，而且web服务总是挂，让人很没耐心。

????????查看别人的writeup发现使用了chkrootkit提权，该工具在0.49版本存在本地提权漏洞，使用searchsploit搜索chkrootkit即可找到提权方法：echo "cp /bin/bash /tmp/bsh;chmod 4555 /tmp/bsh" > /tmp/update;chmod 755 /tmp/update

????????????????执行该命令，一段时间后执行/tmp/bsh -p即可获取root权限，如图：