靶机下载地址:https://www.vulnhub.com/entry/driftingblues-1,625/
靶机ip:192.168.56.130
端口扫描
提供了22端口的ssh服务和80端口的http服务
查看http服务
直接访问80端口,得到一个用户eric和一个域名,备用,未获得其他有用的信息
查看页面源码信息,得到一个base64编码的字符串信息
解码得到一个txt的文件名
解密文件
访问该文件,得到Ook!加密的文本信息
使用在线解密https://www.splitbrain.org/services/ook进行解密,得到解密后的信息
修改hosts文件
根据解密得到的提示信息,修改hosts文件的内容,使用gobuster进行扫描得到两个子域名
将这两个子域名添加到hosts文件中
访问域名得到响应如下:
再次对该域名进行扫描,得到三个文件
得到ssh密码信息
得到robots.txt文件中有一个ssh的认证txt文件
提示信息给出了ssh的密码为1mw4ckyyucky加上一个数字
使用crunch生成对应的字典
在首页发现了一个用户eric,可能是ssh登录的账户,爆破成功得到eric用户的密码为1mw4ckyyucky6
提权
成功使用普通用户eric登录靶机
得到第一个flag
没有sudo权限命令,也没有定时任务,suid文件也没发现
四处翻找文件,根据提示找到了一个bash文件
新建文件提权
里面有一个sudo执行/tmp/emergency命令,可以进行提权,而在tmp目录下没有这个文件,看来是需要自己新建该文件,正好可以用来提权,
系统会执行backup.sh,以root权限执行emergency,在该文件中执行的命令就是root权限,可以把/bin/bash复制到tmp目录中,添加suid权限
backup.sh执行后,sudo命令执行emergency,生成toroot文件,具有suid权限
执行toroot命令,可以得到euid为root的shell
成功得到flag2