LOADING

正在加载

DRIFTINGBLUES靶机学习

2022/9/8 vulnhub靶机复现 靶机 vulnhub

壹 题目信息

名字:DRIFTINGBLUES
靶机地址:传送门
靶机IP192.168.239.149

贰 解题

扫描端口:

image-20221107181316505

访问80,发现没有可用,最多有几个人名:

image-20221107181659095

接着扫描目录:

image-20221107181637965

逐个访问,发现:

/phpmyadmin/是一长串abc,没什么利用,待定
/privacy/是一长串ab,没什么利用,待定
/secret/是一长串a,没什么利用,待定
/wp-admin/是wp框架,但是没有图片,待定
/robots.txt,给了一个路径/eventadmins

image-20221107182154409

路径/eventadmins又给了一个/littlequeenofspades.html

image-20221107182204889

继续访问发现存在base64编码aW50cnVkZXI/IEwyRmtiV2x1YzJacGVHbDBMbkJvY0E9PQ==,解码后是:intruder? L2FkbWluc2ZpeGl0LnBocA==,继续解码/adminsfixit.php

image-20221107182440111

访问页面发现是ssh日志中毒,每过一分钟获取一次/var/log/auth.log日志信息:

image-20221107183401528

尝试利用ssh登录写一句话木马:image-20221107185519009

然后去访问页面http://192.168.239.149/adminsfixit.php,即可使用蚁剑连接:

image-20221107185536724

信息收集一波,发现有一个用户的.ssh允许其他用户修改:

image-20221108102919003

尝试添加免密登录:

image-20221108103614479

image-20221108103628702

image-20221108103917683

获取第一个flag

image-20221108104225145

这里看攻略的,有一个getinfo,不是本来的二进制文件,尝试运行:

image-20221108104747491

查看内容可以发现是用的ip add的命令执行的:

image-20221108104847933

写一个名为ipshell文件,更改环境变量并运行:

image-20221108105735138

image-20221108110128822

原理:由于getinfo是以root权限运行的,并且运行ip这个命令,所以我们可以尝试通过getinfo运行ip获取一个root权限的shell,即:/bin/bash -i ,但是有一个问题我们要如何让ip这个命令更改为运行/bin/bash -i这个命令呢?我们可以通过写一个名为ipshell文件到/tmp目录下,将/tmp设置为最先的环境命令,因为环境命令是从前面开始一个一个往后查询的,所以使用export PATH=/tmp/:$PATH 设置,最后运行getinfo即可获取root权限。然后查看flag

image-20221108111442721

叁 需要学习的知识

  • ssh日志中毒,ssh登录写一句话木马
  • 提权
avatar
小C&天天

修学储能 先博后渊

kyrieee tonyd0g ruyueattention

今日诗句