driftingblues1靶机
信息收集
- 使用nmap扫描得到目标靶机ip为192.168.78.166,开放80和22端口
web渗透
-
访问目标网站,在查看网站源代码的时候发现了一条注释的base64加密字符串
-
对其解密得到了一个目录文件
-
访问文件发现是一串ook加密的字符串,直接使用在线工具进行解密
-
通过解密得到了需要使用host文件,host是可以修改ip和域名对应的文件,看来后续的目标要网域名方向靠拢了
-
因为域名的格式是xxx.xxx,发现网页上存在这样域名格式
-
尝试修改hosts文件内容,添加ip和域名对应内容,再次尝试访问,可以正常访问
-
发现页面和往常一样,这里想到可能需要进行子域名爆破,关键点隐藏在子域名中,使用layer爆破发现卡住了,转到kali主机下,使用ffuf工具进行子域名爆破,得到了子域名为test
-
再次修改hosts文件内容,将test子域名也添加在内
- 访问网站之后提示正常流程工作,也没有什么内容,尝试用dirb扫描一下目录,发现robots.txt文件的存在
- 访问robots.txt文件,发现隐藏了一个ssh的文件
- 访问该文件提示ssh的登录密码为该字符串后面跟一个数字,尝试使用循环命令将数字输出到给出的密码后面,保存到kali主机的文件中形成密码本
获取shell
- 根据前面的提示,每个提示后面多次出现 eric用户,怀疑这个就是登录的用户名,可以使用Hyder或者美杜莎进行ssh爆破登录,当然就是个也可以手动测试。爆破结果
1mw4ckyyucky6
的字符串是登录密码 - 进行ssh登录,成功登陆到eric用户的shell
权限提升
- 第一思路依旧是尝试suid,sudo -l和定时任务的查看,都没有什么收获。尝试上传pspy64发现了隐藏的定时任务
- 前去查看backups.sh文件的内容,发现最后有一段命令使用
sudo
执行了一个文件。定时任务是uid=0
即为root权限,尝试在/tmp/emergency
文件中写入命令,就能以root权限执行其中的命令了
- 在
/tmp/emergency
写入chmod +s /bin/bash
,直接给/bin/bash加个suid权限,给上可执行权限,等到定时任务执行即可用bash
的suid提权
到root了
- 最后查看到root目录下的flag
靶机总结
- 本次靶机进行了域名渗透操作,进行了子域名爆破,提权时隐藏了定时任务的信息
- 根据网页提示说和host文件有关系,接触到host就要想到ip和域名对应,既然涉及到域名那就少不了子域名爆破了,信息就隐藏在子域名网页中。还要讲子域名添加到hosts文件中。子域名爆破的工具有很多,这里使用的是layer和ffuf
- 再进行后渗透时,发现存在脚本需要使用root权限执行即可进行权限提升的利用,那多半就可能是定时任务来执行的,本次靶机就将定时任务的信息隐藏了,但是可以使用pspy64工具查看得知存在定时任务
- 在最后利用后门文件时,有了root权限还是可以进行很多操作的,例如在passwd和sudoers文件中新增内容,查看shadow文件内容,甚至可以访问root目录,使用ls查看flag文件名,再加上cat命令直接查看文件,都可以不用获取root用户权限