Perfection (Linux · Easy)

RubySSTI+hashcat

枚举

nmap

nmap -sC -sV -sT -T4 10.10.11.253

Nmap scan report for 10.10.11.253 (10.10.11.253)
Host is up (0.26s latency).
Not shown: 984 closed tcp ports (conn-refused)
PORT      STATE    SERVICE        VERSION
6/tcp     filtered unknown
22/tcp    open     ssh            OpenSSH 8.9p1 Ubuntu 3ubuntu0.6 (Ubuntu Linux; protocol 2.0)
| ssh-hostkey: 
|   256 80:e4:79:e8:59:28:df:95:2d:ad:57:4a:46:04:ea:70 (ECDSA)
|_  256 e9:ea:0c:1d:86:13:ed:95:a9:d0:0b:c8:22:e4:cf:e9 (ED25519)
33/tcp    filtered dsp
80/tcp    open     http           nginx
|_http-title: Weighted Grade Calculator
1010/tcp  filtered surf
1151/tcp  filtered unizensus
1277/tcp  filtered miva-mqs
1352/tcp  filtered lotusnotes
3221/tcp  filtered xnm-clear-text
5431/tcp  filtered park-agent
6129/tcp  filtered unknown
6566/tcp  filtered sane-port
6792/tcp  filtered unknown
10616/tcp filtered unknown
10629/tcp filtered unknown
41511/tcp filtered unknown
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

dirsearch

网页底部，提供了相关信息，Ruby Web

/weighted-grade，在此测试

恶意输入被阻止，fuzz

SSTI测试，https://book.hacktricks.xyz/pentesting-web/ssti-server-side-template-injection#erb-ruby

Shell

反弹shell

权限提升

sudo suid 没什么好利用的

下载PEASS-ng进行提权分析

1 2	chmod +x linpeas.sh ./linpeas.sh

Files with Interesting Permissions

/var/mail/susan

译：由于学生路径数据泄露，我们将过渡到木星年级，我认为我们也应该迁移我们的证书（包括其他学生在我们班上）到新平台。我还建议制定一个新的密码规范，让每个人都能更轻松地使用。密码格式为：
{firstname}_｛名字倒过来｝_｛随机生成的1到1000000000之间的整数}
请注意，名字的所有字母都应该转换成小写字母。请尽可能向我提供有关迁移的最新信息。我目前正在该平台上注册我们的大学。
-Tina，你可爱的学生

/home/susan/Migration/pupilpath_credentials.db