海南城乡建设厅网站,网站移动站,西安百度关键词优化,一个小程序的项目大概多少钱靶机#xff1a;DriftingBlues: 1 DriftingBlues: 1 ~ VulnHubhttps://www.vulnhub.com/entry/driftingblues-1,625/ 攻击机#xff1a;kail linux 2024 1,将两台虚拟机网络连接都改为NAT模式#xff0c;并查看靶机的MAC地址 2#xff0c;攻击机上做主机扫描发现靶机 靶机I… 靶机DriftingBlues: 1 DriftingBlues: 1 ~ VulnHubhttps://www.vulnhub.com/entry/driftingblues-1,625/ 攻击机kail linux 2024 1,将两台虚拟机网络连接都改为NAT模式并查看靶机的MAC地址 2攻击机上做主机扫描发现靶机 靶机IP地址192.168.23.136攻击机IP地址192.168.23.128 3对靶机做更精细的扫描 22/tcp open ssh OpenSSH 7.2p2 80/tcp open http Apache httpd 2.4.18 4访问web网页查看页面源码发现一串base64编码 L25vdGVmb3JraW5nZmlzaC50eHQ解码得到/noteforkingfish.txt 5访问192.168.23.136/noteforkingfish.txt 6访问该文件发现大量 Ook! 编码解码之 Ook! 在线解码地址Brainfuck/Ook! Obfuscation/Encoding [splitbrain.org] 解码得到 my man, i know you are new but you should know how to use host file to reach our secret location. -eric 7得到一串提示信息。通过对提示的分析要求通过hosts文件的方式访问地址此时需要一个域名这里就需要上面提到的两个邮箱两个邮箱都是同一个域名driftingblues.box 8将靶机ip地址以及对应的域名 driftingblues.box 写入hosts文件内重新使用域名访问网站进行信息收集发现与之前收集到的信息一致 9使用gobuster工具进行爆破尝试爆破子域名得到子域名test.driftingblues.box gobuster dns -d driftingblues.box --wordlist /usr/share/wordlists/dirb/common.txt --no-error -z dns 使用DNS枚举子域名域名爆破模式 -d 目标域指定目标域名 --wordlist 字典列表的路径 --no-error 不显示错误 -z 不显示进度 9将子域名也加入到 hosts 表内访问网页进行信息收集发现页面没有什么有用的回显信息注意页面经常出现的eric后面ssh暴力破解时候用得到 10使用dirb工具扫描网站目录发现robots.txt文件访问该文件获得 /robots.txt 文件 11访问 /ssh_cred.txt 文件得到一个密码用于ssh登录 获得提示1mw4ckyyucky需要最后一位加一个数字才真的密码这样的话就有十种可能 12直接编写十种可能的密码用户名eric再利用工具爆破 hydra -l eric -P password.txt 192.168.23.136 ssh -l 指定用户名 -P 指定密码字典的路径 ssh 用于暴力破解SSH服务器 如此得到账户/密码eric/ 1mw4ckyyucky6 13,使用得到的账户密码进行登录 使用ls命令查看一下当前目录下有啥文件 发现了 user.txt找到了第一个FLAG。 14接下来的思路就是提权使用find命令寻找suid程序尝试进行提权没有发现可利用的漏洞程序 find / -perm -4000 2/dev/null 使用sudo运行命令提示无法运行 15换个思路找靶机内存在root权限执行的文件或者脚本在查看/tmp目录时发现目录下存在备份文件查看/var目录果然有一个backups文件夹查看文件夹里的文件内容有一个备份文件脚本backup.sh该文件执行的命令是root权限的 在Linux系统中默认的备份文件路径通常是/var/backups。这个目录通常用来存放系统自动备份的文件比如日志、配置文件等。不过需要注意的是具体的备份路径可能会因不同的发行版和配置而有所不同。 16查看backup.sh文件的内容发现提示说有一个backdoor且用sudo命令执行了/tmp/emergency文件。 17再次查看/tmp目录发现没有emergency这个文件我们可以自行创建 18创建emergency文件并向其中写入命令给该文件执行命令。等待backup.sh执行生成backdoor文件 echo cp /bin/bash /tmp/backdoor;chmod s /tmp/backdoor /tmp/emergency chmod x emergency 因为emergency文件依旧是eric用户创建的我们需要一个root用户创建还拥有特殊权限的执行文件去执行提权命令。所以我们利用备份文件会以root权限执行/tmp/emergency文件的漏洞去创建一个backdoor文件这个命名单纯是根据提示来创建的可以随意创建一个喜欢的文件名来执行提权命令并给该文件赋予特殊权限。赋予emergency文件执行权限是为了能让其执行写入命令。 19发现成功生成backdoor文件执行该文件成功提权至root权限 ./backdoor -p 提权命令 -p 以root权限执行命令 此时的backdoor文件内的内容实际就是/bin/bash文件内的内容且该文件为root用户创建拥有SUID权限的文件因此我们可以进行提权操作。但是由于Linux系统中出于安全考虑普通用户无法直接提升为root用户所以我们要加 -p 参数可以实现以root权限执行命令 20得到flag2/2 总结 1.多注意网页源代码 思路不能只限于扫描后台 2.学习了Gobuster工具的使用第一次用 3.了解了一些编码ok码 或者base64 等 4.学会结合脚本给的提示 利用sudo 提权 声明部分内容来自于网络如有侵权联系删除
