靶机driftingblues3 – 作者:zhangjinbo

靶机下载地址:https://www.vulnhub.com/entry/driftingblues-3,656/

靶机ip:192.168.56.131

端口扫描

常见的两个端口22和80

1624521795_60d43c4376f84f3a78da9.png!small?1624521797917

信息收集

扫描出来多个目录

1624521829_60d43c6511c8cc261f15b.png!small?1624521826916

多重路径获取

访问robots.txt文件,得到一个路径

1624521859_60d43c836521d4587afd8.png!small?1624521857204

该路径中又提示一个html文件

1624521873_60d43c9176007eb9e3c3d.png!small?1624521871121

访问该html文件,大段描述信息

1624521887_60d43c9fe200bfa482186.png!small?1624521885611

查看页面源码,有一个base64编码的字符串

1624521892_60d43ca4d966f081b7f96.png!small?1624521890652

字符串解码两次,得到一个PHP文件

1624521898_60d43caae25460626d99d.png!small?1624521896804

ssh的登录认证信息

访问该php文件,发现是记录ssh认证的日志信息

1624521909_60d43cb5829823e9f65c4.png!small?1624521907201

此时尝试使用不同的用户名,如root、eric、who去进行ssh登录,看一下上面的文件中是否记录

1624521938_60d43cd265b5fa8f49f35.png!small?1624521934379

确实记录了三个用户认证的信息

1624521946_60d43cda954d9ff4ebdba.png!small?1624521942537

尝试在用户名处,使用php的webshell进

1624521960_60d43ce8beaf4f398cea5.png!small?1624521956588

测试发现命令确实得到执行

1624521969_60d43cf153ff70dd88e2e.png!small?1624521965303

反弹shell

命令可以执行,此处可以使用内存执行反弹shell命令

1624521975_60d43cf7ad1fae2e28515.png!small?1624521971847

成功接收到反弹shell

1624521981_60d43cfd8caa093eef064.png!small?1624521977468

在robertj的家目录下有一个文件,无法直接查看

1624522011_60d43d1bd2d4c9c5a7341.png!small?1624522007211

使用Python获取一个交互式的shelll

1624522018_60d43d221efcfcb7090c7.png!small?1624522013519

提权

查看robertj账户目录下存在.ssh目录,且该目录的权限为707,www-data用户也有可写权限

1624522029_60d43d2de84cfcc0d4df8.png!small?1624522025301

公私钥免密登录

进入.ssh目录中,发现里面没有私钥,尝试生成公私钥登录

1624522038_60d43d367decd338ed00e.png!small?1624522033952

生成公私钥对,红色框内需要输入私钥文件存放的路径

1624522049_60d43d41bf0d9b85ac4af.png!small?1624522045203

把公钥写入靶机的authorized_keys内

1624522060_60d43d4c85898f005d669.png!small?1624522056027

私钥复制保存到本地,发现id_rsa的权限过高,无法使用私钥免密登录,修改文件权限为400

1624522068_60d43d540ef83ae3724c7.png!small?1624522063559

成功登录为robertj用户

1624522072_60d43d58e22b156aa26e7.png!small?1624522068361

得到第一个flag

1624522090_60d43d6a5054e7bb3f56f.png!small?1624522085890

提权至root

查找具有suid权限的命令,发现getinfo命令

1624522090_60d43d6a5352c0b34bf82.png!small?1624522085890

执行该命令,发现执行的结果,相当于执行了ifconfig、cat /etc/hosts、uname -a命令

1624522098_60d43d728a9c3ea9e5daa.png!small?1624522094330此时可以在tmp目录中新建一个ip命令,并且文件权限为777

1624522111_60d43d7f2addcec37d10e.png!small?1624522106339

把环境变量指定到tmp目录,这样执行getinfo命令时,会以root权限执行ip命令,得到root权限的shell,成功提权

1624522117_60d43d85d2a036130463b.png!small?1624522113039

获得flag2

1624522125_60d43d8d232f6a7b523c7.png!small?1624522120259

来源:freebuf.com 2021-06-24 16:12:10 by: zhangjinbo

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论