实验环境:
kali:192.168.126.130
bob靶机:192.168.126.129
一、信息收集
扫描目标ip地址
扫描目标主机的端口发现有80端口,尝试登录网页查看在网页中查找到了相关信息
大意是,学校网站被黑客攻击,之后将不能登录网站之类的。
在网站的联系我们中找到了关键词:admin,所以推测bob J有可能是管理员
扫描网站的目录,继续查看网站的其他子目录这里只有状态码为200的网页才可以正常查看
查看robots.txt 目录,发现其下的隐藏目录
二、getshell
继续查看隐藏目录
又发现了bob,大概率是管理员用户,并且提示有个webshell在运行,但是应该是安全的,所以可能有些命令无法运行
在shell页面中可以执行一些简单的命令,这里尝试用bp工具
网页开启代理
bp工具添加代理
双方都开启代理后,在shell网页中提交命令
bp拦截网页的提交请求,我们要将拦截下来的网页发送到repeater中去
尝试绕过发现目录中有备份文件(图片这里是打错字了=_=)
/bin/ls
访问该备份文件
下载后查看该文件后找到了shell运行命令的黑名单
发现其中的nc被拒绝使用,说明nc可以在本次渗透中有用处,其实nc在本次的渗透中是用来做反弹shell的,尝试绕过
在kali中开启监听端口
在靶机中绕过,并通过端口向kali发送bash
kali成功连接到靶机中
由于这个界面使用起来不方便,这里使用了一个python的模块,进入到交互式bash中
python -c "import pty;pty.spawn('/bin/bash')"
三、提权
查看根目录中的文件,发现flag.txt文件,由于该文件只有管理员的权限才能打开,所以我们现在要开始提权
查看用户文件,发现bob和jc两个用户
进入到bob用户的家目录查看有无可用信息
cd /home/bob
ls -lah
发现敏感文件
查看旧密码文件
cat .old_passwordfile.html
发现了登录jc用户的密码
进入到Documents中
查看到login是加密文件,尝试查找其他文件寻找有效信息
最后在/homr/bob/Documents/Secret/Keep_Out/Not_Porn/No_Lookie_In_Here中查到有效信息
是一首藏头诗,每行的首字母就是gpg的密码,解密完成后发现了bob的密码
登录bob用户
查看flag.txt文件在我看来,这个靶机的核心知识点在于那个webshell的绕过和nc监听端口获得shell的过程,对于我来说是没有接触过的知识点。
总体来说这个靶机并不难,熟练运用各种工具就能顺利通关了