0x00 环境搭建

攻击机为kali Linux，IP为192.168.71.129

靶机IP地址目前不知道，但是是和kali同网段的

0x01 信息收集

由于不知道目标的IP地址，这里我采用了arp scan对本机的整个网段进行扫描

发现目标IP为192.168.71.130。对目标IP进行端口扫描，发现目标开启了22和80端口。

0x02 web渗透

访问目标IP，看看站点里面有没有什么有用的信息，刚进入站点就看到一个小提示，说这个是一个CTF，那可以考虑一些CTF的手法

web页面中是七龙珠的介绍页面，中间有一个站点是介绍动漫的详细网站，和靶场没有关系，就不用管了

查看一下源代码，发现有个base64加密的信息，利用kali中自带的base64进行解密

这个base64进行了三层加密，最后解出来的信息是DRAGON BALL，先放一边

随手在url上加了robots.txt，发现还有一个base64加密的信息

对其进行解密发现信息是you find the hidden dir，算是一个小彩蛋吧

到此，我的思路有一些断了，去网上查找靶场的wp，发现DRAGON BALL这个是一个目录名，访问发现，有一个vulnhub文件夹和secret.txt文件

先看看secret.txt文件里面有什么东西

发现了一堆的目录，里面有username和passwd，访问发现是404，就没去管了，看写WP的大佬利用批量访问这里面没有一个是能访问的

后访问Vulnhub文件夹，里面有个aj.jpg和login.html，先看看login.html里面有啥内容

发现标题为欢迎xmen，点击Download会跳转至aj.jpg

因为开头有提示说可以尝试CTF的手段，就考虑图片隐写，因为我图片隐写很菜，就参考大佬的WP进行操作了，使用wget将图片下载下来，再用stegseek来对图片进行解码。

这里第一次下载stegseek工具的时候，会有个rockyou.txt.gz需要解压，不然运行的时候会报错。

stegseek工具会将提取的隐写文件放在当前目录下，cat查看aj.jpg.out

这个是一个ssh的私钥文件，结合之前扫描到的22端口，靶机开启了ssh服务，ll看一下私钥的权限

发现除了root用户其他用户和用户组也有读权限，因为私钥权限为root用户可读写，所以用chmod修改一下权限

现在只知道root和xmen用户，使用ssh命令和私钥对靶机尝试连接

发现root用户需要密码，xmen用户直接进入了，先ls命令查看一下当前目录下有什么文件

发现local.txt和script文件夹，使用cat命令查看local文件

发现一个假的flag，进入scrip文件夹看看里面有啥文件

发现了一个demo的c文件和一个shell文件，用cat查看demo.c

这个文件中是将进程的uid和gid都设置成root，并且调用ps查看当前用户的状态。再运行shell看看执行了啥

和demo.c中的程序一样，demo.c应该是shell的源代码。

0x03 linux越权

既然他可以使进程变为root权限，那就可以用变量劫持进行越权操作，在家目录下创建一个ps的文件，ps文件中的内容为/bin/bash，并给ps添加执行条件

环境变量劫持

查看一下现在的环境变量，发现/user/bin在第二组

我们将当前目录修改为环境变量的第一个，应该就能将创建的ps成为第一个运行的ps，使用export命令来修改

可以看到，当前目录已经变为了第一个，之后再次执行/script/shell文件，发现已经变成root用户，越权成功

之后查看一下root用户的家目录，发现flag就在这里

到此整个靶机复现完毕

总结

这次靶场复现学习到了很多思路，作为一个菜鸡，还有很多要学的。

参考

https://blog.csdn.net/Bossfrank/article/details/136338089
https://www.freebuf.com/articles/web/396715.html