本篇文章仅用于技术交流学习和研究的目的，严禁使用文章中的技术用于非法目的和破坏，否则造成一切后果与发表本文章的作者无关

靶机是作者购买VIP使用退役靶机操作，显示IP地址为10.10.10.87

本次使用https://github.com/Tib3rius/AutoRecon 进行自动化全方位扫描

执行命令 autorecon 10.10.10.87 -o ./Waldo-autorecon

就开放了两个端口，访问web应用看看

没发现啥信息，看看网页源码

看到一个list.js文件访问下

经过测试可以通过以下方式绕过，直接读取目录和文件

开始读文件

 

读取到密钥直接使用密钥登录目标靶机

curl -s -X POST -d "file=....//....//....//home/nobody/.ssh/.monitor" http://10.10.10.87/fileRead.php | jq -r .file > id_rsa

使用nobody用户登录成功之后，试试monitor这个用户在本地进行登录，发现有rbash限制，于是加上-t参数直接绕过限制

登录进去发现还是有写命令执行不了，怀疑是全局环境变量的缘故导致，便添加全局环境变量

export PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:$PATH

通过执行当前目录下的文件发现有一个文件可以读取root远程登录的日志内容

由此可判断存在capabilities 具体详情查看：

https://www.insecure.ws/linux/getcap_setcap.html
https://www.hrwhisper.me/introduction-to-linux-capability/

得知tac命令没有权限限制，可直接读取任何文件