靶机下载地址
信息收集
主机发现
nmap扫描攻击机同网段存活主机。
nmap 192.168.31.0/24 -Pn -T4靶机ip:192.168.31.183
端口扫描
nmap 192.168.31.183 -A -p- -T4开放了22,80端口,端口详细信息如下:
网站信息收集
访问http服务。
首页没什么可操作的,F12检查页面元素,找到隐藏信息,在页面底部有一串注释字符。
看样子是base64编码,解码。测试发现需要解码三次,最后得到:DRAGON BALL。
VWtaS1FsSXdPVTlKUlVwQ1ZFVjNQUT09
UkZKQlIwOU9JRUpCVEV3PQ==
RFJBR09OIEJBTEw=目录扫描
经过dirsearch和gobuster扫描得到路径/robots.txt和aj.jpg。
dirsearch -u http://192.168.31.183
gobuster dir -u http://192.168.31.183/ -w directory-list-2.3-medium.txt -x html,php,js,jpg,png,txt
访问/robots.txt,又得到一段base64编码,解码结果是:you find the hidden dir。
aj.jpg,一张黑客图片,暂时不知道有没有用。
两段base64提示结合一下就是:DRAGON BALL是隐藏目录。访问DRAGON BALL目录:
Vulnhub/文件夹下有aj.jpg和login.html,/DRAGON BALL/aj.jpg与/aj.jpg是同一张图片。
访问/DRAGON BALL/Vulnhub/login.html,一个简单的html页面,两个信息:
- download指向aj.jpg,多次提及aj.jpg是在提示图片内有隐藏信息;
- WELCOME TO xmen,xmen大概率是用户名。
/secret.txt里是一些路径,怎么拼接都不对,通通404。
图片隐写
stegseek(一款针对Steghide的隐藏数据提取工具)提取图片隐藏信息。 图片隐写工具有很多,Vulnhub很多靶机图片隐写相关的部分都是使用steghide隐藏信息的,加之可能有密码,所以这里直接用了stegseek(爆破密码并提取隐藏信息)。
stegseek aj.jpg得到ssh私钥。
渗透
得到ssh私钥,检查靶机ssh服务是否接受私钥登录ssh 192.168.31.183 -v,支持。将私钥复制到工作目录,命名为id_rsa,记住一定要将id_rsa权限修改为600。尝试ssh私钥登录(用户名不知道就拿出现过的可疑字符试)。
ssh -i id_rsa xmen@192.168.31.183用户名是xmen。
get local.txt!
在xmen家目录下发现拥有suid权限的文件/script/shell。
提权
对shell文件是否能够帮助我们提权进行探索。查看shell文件显示乱码,执行shell,发现执行结果和ps命令结果一致。
查看script目录下的demo.c,调用系统命令ps,这个时候思路已经清晰了。同样提权方法的靶机参考Vulnhub:hacksudo search-CSDN博客
在有执行权限的文件夹内创建ps文件,创建成功后添加到环境变量PATH中。
详细步骤如下:
cd tmp
echo '/bin/bash' > ps
chmod 777 ps
# 将刚创建的ps添加到环境变量中
export PATH=/tmp:$PATH检验环境变量,添加成功。
执行shell,成功拿下root权限。
get proof.txt!🎆
