vulnhub之unknowndevice64-V1.0渗透实战
0x01 环境及配置
难度:中级
目标:获取root权限并阅读/root/flag.txt
网络:桥接模式 DHCP自动分配IP地址
下载地址:https://mega.nz/#!WyQ1UaKC!azV9qvOXqzxOXFcE9qP15fQTEOWgr27plE0SmZTvGhk
靶机:192.168.34.152
攻击机:kail linux IP地址192.168.34.179
0x02攻击开始
第一步对目标主机进行nmap扫描,发现1337是ssh端口,31337端口是http端口,访问网站
没有发现什么异常,访问页面源代码,发现ket_is_h1dd3n.jpg
访问该文件,并保存到kali桌面,用steghide进行提取其中的文本信息,需要用到密码,h1dd3n就是密码,分离出来一个h1dd3.txt
steghide extract -sf key_is_h1dd3n.jpg
cat h1dd3n.txt发现是Brainfuck代码,线上解码https://www.splitbrain.org/services/ook
在线解出来的用户名密码:ud64/1M!#64@ud
0x03 ssh登录
ssh ud64@192.168.34.152 -p 1337
尝试各种命令都被禁止了,竟然是rbash的shell
0x04 绕过rbash提权
如果发现vi和 `export命令可以使用
export命令用于设置或显示环境变量,在shell中执行程序时,shell会提供一组环境变量,export可新增,修改或删除环境变量
1、在vi编辑器中,输入 :!/bin/bash
2、将/bin/bash导出到shell环境变量,将/usr/bin目录导出到PATH环境变量:
export SHELL=/bin/bash:$SHELL
export PATH=/usr/bin:$PATH
接下来就可以使用正常命令了,使用sudo -l命令查看可执行权限
发现可以无密码登录sysud64
使用sudo sysud64 -h查看帮助消息
发现可以使用
-o file send trace output to FILE instead of stderr
尝试将root用户的shell导出到该用户下
sudo sysud64 -o /dev/null /bin/sh
whoami,查看当前用户权限为root
查看root目录下的flag.txt文件