- 信息收集
使用nmap扫描,发现开启了21ftp端口,22ssh端口,80web服务端口,在21ftp上有anonymous这个用户可以进行空密码访问,访问后可以获取到一个jpg文件。
1.2对web服务的信息收集
浏览器访问目标IP地址后发现存在web服务,但是页面上没有更多信息,手动测试GET、POST型传参页面没有变化。
使用wfuzz目录爆破软件进行敏感目录爆破。
发现存在一个blogs目录,访问这个目录
根据页面提示,发现这个靶场没有更多的安全配置,并且可能存在进一步的提示信息,查看网页源代码发现存在提示信息。
根据提示,存在另一个文件夹,名字叫S3cr3t-T3xt
访问这个目录
发现页面也没有任何有用的信息,同样的查看源码
发现一个key:3xtr4ctd4t4
2.图片隐写
使用steghide工具对图片进行解码,发现需要密码
输入从网站中获取的key可以得到一个data.txt文件
根据文件内容,发现这是一封写给renu这个用户的信,获得了一个用户名renu,同时根据信中的信息可以得出,这个用户的密码是脆弱的,所以采取暴力破解的方式进行ssh的暴力破解。
最后成功获得了ssh的登陆用户名和密码,直接进行远程ssh连接
登陆上ssh后,在当前目录下就存在一个txt文件,查看这个文件发现是第一个flag
获取到了第一个flag:us3r1{F14g:0ku74tbd3777y4}
3.尝试获取第二个flag,这里有两个办法
3.1在获取到第一个flag后,返回上一级文件夹就能发现还存在一个lily这个文件夹,访问之后发现里面就是第二个flag,并且能够成功获取到文件内的flag
3.2
使用第一种方式获取到flag后,感觉是靶场的配置错误,让renu这个用户能够读取到第二个flag文件,所以想尝试一下用其他方式获取这个flag
本来是想用history查看一下自己都输入过了什么命令,结果有了意外的发现
Renu这个用户使用ssh远程登陆过一个叫lily的用户,正好是刚才的文件夹的名字,所以直接copy他的命令进行ssh连接,成功获取到了lily的权限。
访问user2.txt这个文件,获取到了第二个flag
4.sudo提权
从上面的两个文件夹对应两个用户可以发现,第三个flag很有可能是在root权限才能访问的一个文件夹内或者是一个只允许root权限读取的文件,所以尝试提权,使用命令sudo -l 发现lily在执行/user/bin/perl这个文件时不需要输入密码,所以尝试在这里进行提权,通过百度查询perl能否提权,成功发现这是一个提权漏洞,使用命令
sudo perl -e 'exec "/bin/bash";'
成功提升到了root权限
提权之后使用find命令查找user*.txt文件,结果并没有想要的结果,于是查找*.txt,成功发现了在root目录下存在一个root.txt文件,cd到root目录结果并没有发现这个文件,仔细看发现是一个隐藏的文件,直接使用命令获取
成功获取到第三个flag