一、概要
攻击机地址:192.168.64.128
靶机地址:192.168.64.136
靶机下载地址:https://download.vulnhub.com/drippingblues/drippingblues.ova
二、主机发现
arp-scan对ip进行扫描,发现疑似靶机ip:192.168.64.136
三、信息收集
对目标ip进行nmap扫描探测
sudo nmap -sS -A -T4 -p- 192.168.64.136
目标靶机开放了21、22、80三个端口
逐个查看一下
四、渗透测试
1、21端口ftp服务
连接ftp服务,匿名anonymous登录,密码为空
服务器上有一个压缩包文件,使用get下载下来
密码爆破fcrackzip
解压压缩包发现有密码
使用fcrackzip破解一下压缩包的密码,使用的字典是kali自带的rockyou.txt字典
位于/usr/share/wordlist/路径下,是个gz压缩包,root权限使用unzip解压即可:sudo unzip rockyou.txt.gz
fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u respectmydrip.zip
破解出来里面有一个txt文件,还有一个压缩包,同样也是加密的
关键信息get1——drip
txt文件的内容为
压缩包再次进行破解,爆破不出来
2、80端口web服务
打开80端口网页端
英文:driftingblues is hacked again so it's now called drippingblues. :D hahaha
by
travisscott & thugger
译文:DriftingBlues再次被黑客入侵,所以它现在被称为DrippingBlues。:D哈哈哈
由
Travisscott & Thugger
关键信息get2——两个用户名Travisscott、Thugger
由此可以得到,两个可疑的用户名:Travisscott、Thugger
前面nmap的扫描中显示有个robots.txt文件
查看一下dripisreal.txt
英文:hello dear hacker wannabe,
go for this lyrics:
https://www.azlyrics.com/lyrics/youngthug/constantlyhating.html
count the n words and put them side by side then md5sum it
ie, hellohellohellohello >> md5sum hellohellohellohello
it's the password of ssh
译文:你好亲爱的黑客想要,
去听这句歌词:
https://www.azlyrics.com/lyrics/youngthug/constantlyhating.html
数 n 个单词并将它们并排放置,然后 md5 求和它
即,你好你好你好 >> md5sum hellohellohellohello
这是SSH的密码
兔子洞1
查看这个地址
Young Thug - Constantly Hating Lyrics | AZLyrics.com
这么多的单词量,估计那个提示是个兔子洞
暂且跳过
关键信息1利用
查看另一个文件
/etc/dripispowerful.html
但是很明显这个是在服务器上的,网页访问不到,这样的话这里应该是存在文件包含漏洞了可能
直接测试index.php,页面是存在的,这样的话就需要找到传参了
这时就利用到了上面ftp服务下载下来的txt的提示了
测试drip为传参能否实现
文件包含漏洞
很明显漏洞存在
直接查看提示的页面,是个图片
明面上并没有什么有用的信息
源码查看发现密码
查看源码,发现password:
imdrippinbiatch
测试了一下secret.zip的密码,不是
那么猜测这个password是ssh服务的密码
但是用户名的话,应该就是上面存疑的两个其中的一个:Travisscott、Thugger
ssh连接-关键信息2利用
thugger,这里一定要注意是小写!血的教训!
ssh连接成功
First Blood
查看user.txt得到第一个flag
ps -ef查看一下进程
polkitd可以用于提权
五、polkitd提权
github找到提权脚本
Almorabea/Polkit-exploit: Privilege escalation with polkit - CVE-2021-3560 (github.com)
exp下载
这里其实可以直接在靶机上使用wget,但是我这里网络应该是有些问题,连接不上
先将exp下载到kali上,再在路径下用python开一个http服务
在靶机上使用wget下载kali上的exp
实战不建议这样做,会暴露自己
提权成功
运行一会儿后提权成功
最后在root目录下拿到最后一个flag
六、总结
1、密码爆破fcrackzip
2、兔子洞注意(故意放出的疑似漏洞点,主要是为了让攻击者浪费时间)
3、文件包含漏洞,需要找到参数
4、ssh连接注意用户名小写
5、polkited提权:https://github.com/Almorabea/Polkit-exploit