靶机下载地址：https://www.vulnhub.com/entry/driftingblues-3,656/

靶机ip：192.168.56.131

端口扫描

常见的两个端口22和80

信息收集

扫描出来多个目录

多重路径获取

访问robots.txt文件，得到一个路径

该路径中又提示一个html文件

访问该html文件，大段描述信息

查看页面源码，有一个base64编码的字符串

字符串解码两次，得到一个PHP文件

ssh的登录认证信息

访问该php文件，发现是记录ssh认证的日志信息

此时尝试使用不同的用户名，如root、eric、who去进行ssh登录，看一下上面的文件中是否记录

确实记录了三个用户认证的信息

尝试在用户名处，使用php的webshell进

测试发现命令确实得到执行

反弹shell

命令可以执行，此处可以使用内存执行反弹shell命令

成功接收到反弹shell

在robertj的家目录下有一个文件，无法直接查看

使用Python获取一个交互式的shelll

提权

查看robertj账户目录下存在.ssh目录，且该目录的权限为707，www-data用户也有可写权限

公私钥免密登录

进入.ssh目录中，发现里面没有私钥，尝试生成公私钥登录

生成公私钥对，红色框内需要输入私钥文件存放的路径

把公钥写入靶机的authorized_keys内

私钥复制保存到本地，发现id_rsa的权限过高，无法使用私钥免密登录，修改文件权限为400

成功登录为robertj用户

得到第一个flag

提权至root

查找具有suid权限的命令，发现getinfo命令

执行该命令，发现执行的结果，相当于执行了ifconfig、cat /etc/hosts、uname -a命令

此时可以在tmp目录中新建一个ip命令，并且文件权限为777

把环境变量指定到tmp目录，这样执行getinfo命令时，会以root权限执行ip命令，得到root权限的shell，成功提权

获得flag2

来源：freebuf.com 2021-06-24 16:12:10 by: zhangjinbo