先nmap一下:
從http入手,在網頁源碼中發現一段base64編碼:
解碼后獲得: /noteforkingfish.txt
訪問該文件,發現是一段Ook加密:
在線解密得到(https://www.splitbrain.org/services/ook):
my man, i know you are new but you should know how to use host file to reach our secret location. -eric
得到提示,需要利用host file文件
在網站的頁面上我們找到了域名driftingblues.box:
那么先在/etc/hosts中添加192.168.190.162 driftingblues.box
然后進行子域名暴力破解:
gobuster vhost -u driftingblues.box -w /usr/share/dirbuster/wordlists/directory-list-2.3-small.txt
重新修改/etc/hosts,將之前添加的改為192.168.190.162 test.driftingblues.box,然后再后訪問test.driftingblues.box:
這里的eric有可能是用戶名。關於/etc/hosts可以參考:https://www.cnblogs.com/isme-zjh/p/11553165.html
重新dirb http://test.driftingblues.box
在robots.txt中可以看到有一個不讓訪問的文件/ssh_cred.txt:
訪問后得到:
可以看到在這兒提示了我們密碼是1mw4ckyyucky加一位數字,那么選用crunch工具生成字典,先選定numeric字符集:
生成字典:
再使用hydra破解ssh登錄,得到用戶名和密碼:
登陸成功:
在當前目錄下的user.txt文件中獲得了第一個flag:
接下來應該就是想辦法提權了。在/var/backups這個備份文件夾中找到一個.sh腳本文件:
可以看到這是一個root的文件:
backup.sh就是用zip命令把/var/www目錄下的所有內容打包為/tmp/backup.zip,然后sudo /tmp/emergency
的確在/tmp中找到了這個壓縮文件,但是並沒有找到emergency:
使用pspy(https://github.com/DominicBreuker/pspy)監聽一下進程,發現backup.sh是一個crontab進程:
那么只需要寫一個可以提權的/tmp/emergency即可:
將echo "eric ALL=(ALL:ALL) ALL" >> /etc/sudoers寫入/tmp/emergency並chmod 777 emergency
等待一分鍾后即可提權並獲得flag:
結束。
參考:
https://zhuanlan.zhihu.com/p/363096996