前期準(zhǔn)備:
靶機(jī)地址:https://www.vulnhub.com/entry/driftingblues-3,656/
kali攻擊機(jī)ip:192.168.11.128
靶機(jī)ip:192.168.11.167
一、信息收集
1.使用nmap對(duì)目標(biāo)靶機(jī)進(jìn)行掃描
開了22和80.
2. 80端口
有一些人名,除此之外查看源碼也沒發(fā)現(xiàn)什么,掃一下目錄:
先都看一下:
/privacy/
得到一堆 AB,我以為是 AB 編碼,不過沒有解出來。
/robots.txt
得到一個(gè)目錄 /eventadmins 訪問一下:
說 ssh 有毒,并且給了一個(gè)路勁 /littlequeenofspades.html,查看一下:
是一篇歌詞,查看源碼時(shí)我發(fā)現(xiàn)一段 base64,解碼得:intruder? /adminsfixit.php,又給了一個(gè)路徑,查看一下:
是 ssh 的日志,結(jié)合前面所說的有毒,推斷應(yīng)該是日志中毒。
二、漏洞利用
那嘗試在ssh登錄時(shí)寫個(gè)一句話木馬:
嘗試?yán)靡幌拢?/p>
源碼看著方便一點(diǎn),成功利用,看看有沒有 nc:
發(fā)現(xiàn)有 nc,那就 nc 反彈 shell:
連接成功,升級(jí)一下 shell。
三、提權(quán)
查看權(quán)限和文件發(fā)現(xiàn):
robertj 用戶的 .ssh 文件夾能被其他用戶訪問利用,那嘗試往里面寫入 ssh 密鑰:
ssh 登錄:
登錄成功,查看文件:
得到一個(gè) flag。
有個(gè) getinfo,不像是本來的二進(jìn)制文件,嘗試運(yùn)行:
有點(diǎn)像 ip a 的命令,以防萬一下載下來看一下:
確實(shí)用了 ip a這樣的命令,那就寫一個(gè)名為 ip 的shell文件,更改環(huán)境變量并運(yùn)行:
得到 root,查看 flag:
完成。
本文摘自 :https://www.cnblogs.com/