目录
一、信息收集
常规的主机发现以及端口扫描,扫描自己所在的网段。
nmap 192.168.216.0/24
nmap -A -v -T4 -p 1-65535 192.168.216.146
可以看到服务器开启了80端口和22ssh的端口以及一些服务器的信息,网站搭建的中间件以及版本等等信息。
二、漏洞发现
访问服务器的80端口
一个非常普通的网站,是介绍《龙珠》的一些事情,在目前来看并不能发现什么业务功能
查看了页面的源代码后,翻到最下面发现有一段代码,看起来应该是加密过的,先收集以后看有没有作用 。
接下来对网站进行目录扫描,看看能不能发现有信息的文件。
扫描的结果有2个页面,index页面也就是主页面,只有一段代码有用,发现有一个robots.txt文件,访问看看。
发现也有一段加密过的数据,base64解密后得到“you find the hidden dir”,这应该是一段提示。想到上面也有一段加密代码,也使用base64三次解密后得到“DRAGON BALL”,但是好像并没有什么用处。但是将这两者结合起来,应该DRAGON BALL是一个隐藏的目录,因此访问看看是否成功。
验证发现确实是一个隐藏的目录,访问下面出现的页面信息
有一个登录页面和一个script.txt文件,而且登录界面尝试使用默认账号密码去登录页并没有反应。
点击了download跳转到了aj.jpg的路径,想着我之前做了一次图片隐写术的题目,因此想着将图片保存下来进行分析。
但是查看图片里面的隐藏信息是需要密钥的,因此也是需要将密码爆破一下,在网上查找了一个简单的爆破脚本对其进行爆破。
#bruteStegHide.sh
#!/bin/bash
for line in `cat $2`;do
steghide extract -sf $1 -p $line > /dev/null 2>&1
if [[ $? -eq 0 ]];then
echo 'password is: '$line
exit
fi
done
但是我使用了之后并没有成功,也可以使用stegseek或者stegbrute工具进行爆破。爆破出来的密码是love。查看文件的内容发现是一个密钥,因此猜测是ssh的密钥。
给密钥上执行权限chomd 700 id_rsa,而且前面的登录页面显示了一个用户名xmen,使用此用户名进行测试。
ssh -i id_rsa xmen@192.168.216.146
登录成功!获取到第一个flag
三、权限提升
查看了一下script目录下的文件内容以及权限,根据内容的提示,这就是典型的本地变量提权,和SUID也有一点的关系。
提权成功
找到最后一个flag!!!完结
总结
图片的隐写术和爆破密码
本地变量提权,SUID