枚举阶段

我使用 Nmap 开始信息收集，扫描命令包含：

• -sC：等效于—script=default
  

• -sV：探测开放端口的服务/版本信息

• -p-：扫描所有端口

发现 22 端口运行 SSH 服务，80 和 5000 端口运行 Web 服务：

• 80 端口：Apache 2.4.29

• 5000 端口：Werkzeug 0.14.1 + Python 3.6

在 Werkzeug 服务器发现关键路径：

• /robots.txt
  

• /api
  

研究发现 Werkzeug 0.14.1 存在可能的 RCE 漏洞（参考 Rapid7 漏洞库）。

漏洞挖掘

80 端口发现

登录页面源码中发现提示：

"Still Working on this page... debugger pin is inside sid's bash history file"

5000 端口突破

发现存在/console页面但需要 PIN 码。通过以下方式获取：

1. 对/api端点进行参数模糊测试

2. 发现v1存在未修补漏洞

3. 使用ffuf工具发现可利用参数：

   ffuf -u http://IP:5000/api/v2/FUZZ -w wordlist.txt --hc 404

权限提升

1. 通过获取的 PIN 码进入调试控制台

2. 使用 Reverse Shell Cheat Sheet 获取反弹 shell

3. 发现 SUID 二进制文件try-harder
   

4. 逆向分析发现关键 XOR 运算：

   0x5dcd21f4 ^ 0x1116 = 1573743953

5. 成功提权获取 root 权限

完整Reverse Shell备忘单参考更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）公众号二维码

办公AI智能小助手